Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Информер на рабочем столе (http://forum.oszone.net/showthread.php?t=178818)

levantin 21-06-2010 22:18 1438958
Информер на рабочем столе
 
Вложений: 1
Доброго времени.
Информер на рабочем столе просит отправить смс 7520122 на номер 8353. В разблокираторах код подобрать не получилось. Dr.Web LiveCD ничего не нашел. Не уверен, что рекомендации получилось выполнить полностью. Логи выкладываю.

MotherBoard 21-06-2010 22:59 1438978
Здравствуйте.
Выполните скрипт:

Код:
begin
 ExecuteRepair(16);
RebootWindows(true);
end.
Профиксьте в HJT


Код:
F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\ICQ\icq.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

IP- фдреса ваши?
77.40.0.2,77.40.0.3?

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

сделайте логи RSIT

Aleksandra 22-06-2010 01:09 1439057
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
 QuarantineFile('c:\program files\common files\icq\icq.exe','');
 TerminateProcessByName('c:\program files\common files\icq\icq.exe');
 DeleteFile('c:\program files\common files\icq\icq.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip отправьте мне на aleksandra.sedakova[antispam]gmail.com

4. Повторите лог virusinfo_syscheck.

levantin 22-06-2010 11:47 1439222
Вложений: 2
Motherboard: Скрипт выполнил, информер пропал, F3 не нашел, 03 пофиксил. 77.40.0.2,77.40.0.3 адреса мои в настройках ADSL. Логи выкладываю. Выполнять рекомендации Александры или уже поздно?

Drongo 22-06-2010 13:28 1439303
Цитата:
Цитата levantin
Выполнять рекомендации Александры или уже поздно? »
Выполняйте.

levantin 22-06-2010 14:46 1439371
Обновил KIS, запустил полную проверку, Каспер нашел
Trojan.Win32.Qhost.nji по адресу C:\WIN\SYS32\dr\etc\hosts - удалил,
Trojan.Win32.FraudPack.aybg - C:\PF\CF\ICQ\icq.exe - начал лечение потом пезагрузился.
После перезагрузки снова появился иэтотже информер.
Выполнил скрипты 1 Александры. Информер пропал, но avz больше не запускается, выдает ошибку "Access violation at address 00497D2C(00497E41, 0048FCB0) in module 'avz.exe'. Read of address 000000030." Никакие переименования не помогают.

levantin 22-06-2010 15:12 1439388
Выполнил скрипт 2 Александры после перезагрузки в безопасном режиме. Потом сделал лог virusinfo_syscheck - выкладываю, карантин по почте.

Analyzer 22-06-2010 15:12 1439389
сделайте логи этой AVZ.

levantin 22-06-2010 17:31 1439489
Вложений: 1
По рекомендации Analyzer cделал логи "его" avz. Внешних признаков заражения не наблюдается.

Aleksandra 22-06-2010 18:09 1439533
Выполните скрипт в AVZ:

Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.
Ничего плохого в логах не увидела. Что с проблемами?

MotherBoard 22-06-2010 18:22 1439548
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::

Driver::

Folder::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

levantin 23-06-2010 18:43 1440311
Вложений: 1
Aleksandra: Лог выкладываю, внешне все нормально.
Motherbfrd: Отчет cf.
Спасибо всем тему можно закрывать.

Drongo 23-06-2010 19:14 1440329
levantin, Если проблем нет, отмечайте решённой.

MotherBoard 23-06-2010 20:03 1440351
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(19);
RebootWindows(true);
end.
Что с проблемами?

levantin 23-06-2010 22:08 1440432
Вложений: 1
СF удалил, скрипт выполнил, при удалении консоли файл сmldr.* удалился, папка Cmdcons нет. Вылетает ошибка, скрин во вложении. При выборе загрузки системы строки консоли нет, может так оставить. больше проблем нет.


Время: 18:59.

Время: 18:59.
© OSzone.net 2001-