saibai Posted April 15, 2010 Report Share Posted April 15, 2010 Здравствуйте форумчане! Прошу помощи в очистке системы после банера. Сразу извиняюсь за то, что логи сделаны не совсем по правилам - компьютер не мой и прямого доступа к сожалению нет, а владелец вообще очень слабо разбирается - "начинающий пользователь", как говориться. С трудом, но мне все же удалось добиться чтоб были сделаны логи ХайДжек и AVZ. Может быть можно по ним что-то будет сделать? Описываю ситуацию: сначала подцепили порнобанер - смс вымогатель. Не самый страшный, как оказалось. Был убит очисткой временных файлов из безопасного режима. Далее не смогли зайти на страничку "Вконтакте" - там тоже требовали смс за разблокировку. Однако, после очистки файла Hosts(было несколько десятков IP-адресов) эта проблема тоже решилась. Но я уверен, что не могло это так просто пройти. Наверняка осталась гадость какая-нибудь. Посмотрите пожалуйста - что можно сделать? Заранее признателен за любую помощь. hijackthis.log virusinfo_syscheck.zip hijackthis.log virusinfo_syscheck.zip Quote Link to comment Share on other sites More sharing options...
thyrex Posted April 15, 2010 Report Share Posted April 15, 2010 (edited) Пофиксите в HiJack F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe hspe.uvo bnjpidF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\d5f7d964.exe,C:\WINDOWS\system32\485e122c.exe,C:\WINDOWS\system32\65285254.exe,C:\WINDOWS\system32\d28a8f9c.exe,\\?\globalroot\systemroot\system32\zgJVgJ9.exe,C:\WINDOWS\system32\sdra64.exe, Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('globalroot\systemroot\system32\zgJVgJ9.exe','');QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('C:\WINDOWS\system32\d5f7d964.exe','');QuarantineFile('C:\WINDOWS\system32\d28a8f9c.exe','');QuarantineFile('C:\WINDOWS\system32\65285254.exe','');QuarantineFile('C:\WINDOWS\system32\485e122c.exe','');QuarantineFile('C:\Program Files\plugin.exe','');QuarantineFile('C:\DOCUME~1\A9D6~1\LOCALS~1\Temp\netprotocol.dll','');QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');DeleteFile('C:\DOCUME~1\A9D6~1\LOCALS~1\Temp\netprotocol.dll');RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol113\Parameters','ServiceDll');DeleteFile('C:\Program Files\plugin.exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');DeleteFile('C:\WINDOWS\system32\485e122c.exe');DeleteFile('C:\WINDOWS\system32\65285254.exe');DeleteFile('C:\WINDOWS\system32\d28a8f9c.exe');DeleteFile('C:\WINDOWS\system32\d5f7d964.exe');DeleteFile('C:\WINDOWS\system32\sdra64.exe');DeleteFile('globalroot\systemroot\system32\zgJVgJ9.exe');QuarantineFile('%windir%\system32\sfcfiles.dll','');RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');DeleteFile('%windir%\system32\sfcfiles.bak');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится Выполните скрипт в AVZ beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Обновите базы AVZ Сделайте новые логи Edited April 15, 2010 by thyrex Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.