Очистка после банера

[saibai]

Здравствуйте форумчане! Прошу помощи в очистке системы после банера. Сразу извиняюсь за то, что логи сделаны не совсем по правилам - компьютер не мой и прямого доступа к сожалению нет, а владелец вообще очень слабо разбирается - "начинающий пользователь", как говориться. С трудом, но мне все же удалось добиться чтоб были сделаны логи ХайДжек и AVZ. Может быть можно по ним что-то будет сделать?

Описываю ситуацию: сначала подцепили порнобанер - смс вымогатель. Не самый страшный, как оказалось. Был убит очисткой временных файлов из безопасного режима. Далее не смогли зайти на страничку "Вконтакте" - там тоже требовали смс за разблокировку. Однако, после очистки файла Hosts(было несколько десятков IP-адресов) эта проблема тоже решилась. Но я уверен, что не могло это так просто пройти. Наверняка осталась гадость какая-нибудь. Посмотрите пожалуйста - что можно сделать? Заранее признателен за любую помощь.

hijackthis.log

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscheck.zip

[thyrex]

Пофиксите в HiJack

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe hspe.uvo bnjpidF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\d5f7d964.exe,C:\WINDOWS\system32\485e122c.exe,C:\WINDOWS\system32\65285254.exe,C:\WINDOWS\system32\d28a8f9c.exe,\\?\globalroot\systemroot\system32\zgJVgJ9.exe,C:\WINDOWS\system32\sdra64.exe,

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('globalroot\systemroot\system32\zgJVgJ9.exe','');QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('C:\WINDOWS\system32\d5f7d964.exe','');QuarantineFile('C:\WINDOWS\system32\d28a8f9c.exe','');QuarantineFile('C:\WINDOWS\system32\65285254.exe','');QuarantineFile('C:\WINDOWS\system32\485e122c.exe','');QuarantineFile('C:\Program Files\plugin.exe','');QuarantineFile('C:\DOCUME~1\A9D6~1\LOCALS~1\Temp\netprotocol.dll','');QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');DeleteFile('C:\DOCUME~1\A9D6~1\LOCALS~1\Temp\netprotocol.dll');RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol113\Parameters','ServiceDll');DeleteFile('C:\Program Files\plugin.exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');DeleteFile('C:\WINDOWS\system32\485e122c.exe');DeleteFile('C:\WINDOWS\system32\65285254.exe');DeleteFile('C:\WINDOWS\system32\d28a8f9c.exe');DeleteFile('C:\WINDOWS\system32\d5f7d964.exe');DeleteFile('C:\WINDOWS\system32\sdra64.exe');DeleteFile('globalroot\systemroot\system32\zgJVgJ9.exe');QuarantineFile('%windir%\system32\sfcfiles.dll','');RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');DeleteFile('%windir%\system32\sfcfiles.bak');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится

Выполните скрипт в AVZ

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Обновите базы AVZ

Сделайте новые логи

Edited April 15, 2010 by thyrex