Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   порно банер во всех браузерах(FireFox, IE, Opera) (http://forum.oszone.net/showthread.php?t=148456)

AITD 20-08-2009 16:48 1198522
порно банер во всех браузерах(FireFox, IE, Opera)
 
Вложений: 1
помогите с вирусом. почему то файл virusinfo_syscure.zip не прикрепляется и весит он 0 кб
вот логи:

iskander-k 20-08-2009 17:30 1198574
Здравствуйте.

1. Отключите антивирус/фаервол, интернет;

2. Очистите и создайте новую контрольную точку восстановления :
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Сохраните реестр:


Для этого:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.
Как выполнить скрипт AVZ



Скопируйте и выполните, расположенный ниже, скрипт в AVZ.

Перед выполнением скрипта в АВЗ отключите все программы защиты(антивирус, файрволл). Включите брандмауэр Windows

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать данный вам скрипт-- Нажать кнопку "Запустить".

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
 QuarantineFile('gacaq32.dll','');
 QuarantineFile('xagkf32.dll','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('c:\windows\services.exe','');
 QuarantineFile('C:\lich.exe ',' ');
 DeleteFile('c:\windows\services.exe');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('xagkf32.dll');
 DeleteFile('gacaq32.dll');
 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
 DeleteFile('C:\lich.exe');
 DelBHO('{996D4E16-517F-474a-870F-F882C6133C47}');
 DelBHO('{7C7EFE99-C71F-48b8-8CC8-BA506CA76A33}');
 BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ZZZsvc_lich');
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(9);
RebootWindows(true);
end.
После перезагрузки выполните скрипт


Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.



Пофиксить в HijackThis.

Код:
O2 - BHO: MS extension - {7C7EFE99-C71F-48b8-8CC8-BA506CA76A33} - xagkf32.dll (file missing)
O2 - BHO: MSN helper - {996D4E16-517F-474a-870F-F882C6133C47} - gacaq32.dll (file missing)
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
Пофиксить в HijackThis. строку О23
Код:
O23 - Service: ZZZsvc_lich - Unknown owner - C:\lich.exe (file missing)
Для того чтобы пофиксить строку начинающуюся с O23 надо:
1. Запустить HijackThis.
2. Нажать кнопку Open The Misc Tools section
3. Нажать кнопку Delete an NT Service
4. В открывшемся диалоге ввести название службы
ZZZsvc_lich
5.Нажать кнопку OK
P.S. Перегрузиться не помешает


Обновите базы AVZ и сделайте новые логи.

AITD 21-08-2009 14:04 1199341
Вложений: 1
вроде все убило.
Вот новые логи:

thyrex 21-08-2009 14:12 1199348
Выполните скрипт в AVZ
Код:
begin
DeleteFile('F:\autorun.inf');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

У Вас были замечены остатки Pinch'a. Поэтому настоятельно рекомендую сменить все пароли (система, почта, кошельки и т.д.), используемые Вами при работе

Сделайте новые логи virusinfo_syscheck.zip и HiJack


Время: 02:01.

Время: 02:01.
© OSzone.net 2001-