 |
|
Вирус подменьщик
Веселье такое:
у знакомой вирус подменяет на всех браузерах страницы соц-сетей на свои (причём перенаправляет по ip).
Просит ввести логин\пароль, когда вводишь - он выдаёт сообщение:
скрин1
http://forum.oszone.net/attachment.php?attachmentid=88983&stc=1&d=1350911386
Порылся в файле hosts - пусто.
Глянул в CCleanner'е автозагрузку - там такое веселье:
Во вкладке Windows.
Код:
HKLM:Run SunJavaUpdateSched "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
HKCU:Run MailRuUpdater C:\Users\TrasteR\AppData\Local\Mail.Ru\MailRuUpdater.exe
HKLM:Run 24868758 cmd.exe /c copy C:\Users\TrasteR\AppData\Local\Temp\24865841FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
А во вкладке scheduled Tasks:
Код:
Task At1 cmd.exe /c copy C:\Users\TrasteR\AppData\Local\Temp\24865841FdOh C:\Windows\system32\drivers\etc\hosts /Y
Task {3DB4FC38-70CB-4F76-BDBB-DE52E8125184} C:\Windows\system32\pcalua.exe -a "C:\Program Files\Yandex\Punto Switcher\uninstall.exe"
Task {53F4AB14-7167-4EE5-AF18-2A6A02807C55} "c:\program files\opera ac\opera.exe" http://ui.skype.com/ui/0/5.10.66.116/en/abandoninstall?page=tsMain
Task {91390527-04C7-40A9-B994-4DE3ED4A3F74} C:\Windows\system32\pcalua.exe -a "C:\Users\TrasteR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RA2JJRN6\JavaSetup6u30[1].exe" -d C:\Users\TrasteR\Desktop
Task {A8C30B6E-B751-4914-B39F-2DC37C9A4AA0} C:\Windows\system32\pcalua.exe -a C:\Users\TrasteR\Desktop\msxml6-KB954459-rus-x86.exe -d C:\Users\TrasteR\Desktop
Task {B1EF2D0D-5EA8-402F-B4DE-C61669CB4AFF} "c:\program files\opera ac\opera.exe" http://ui.skype.com/ui/0/5.9.66.115/en/abandoninstall?page=tsMain
Task {B65F12B2-0DC1-4233-93A9-16F44BF7E419} C:\Windows\system32\pcalua.exe -a "E:\Ferm\Тропическая Ферма.exe" -d E:\Ferm
Task {B688709A-9CD4-48FD-8AAA-E7968A400EF9} "c:\program files\opera ac\opera.exe" http://ui.skype.com/ui/0/5.10.66.116/en/abandoninstall?page=tsMain
Task {BA8B0D13-E2ED-4ECA-AB96-C98E3D260E28} C:\Windows\system32\pcalua.exe -a C:\Users\TrasteR\Desktop\WeddingDash2Rus_534.exe -d C:\Users\TrasteR\Desktop
Task {BDAA1A41-2DF3-4CD0-AF9B-BE538E996D7B} "c:\program files\opera ac\opera.exe" http://ui.skype.com/ui/0/5.8.0.158/en/abandoninstall?page=tsMain
Task {C926F54C-4FF8-4246-850A-6F0A1931693D} C:\Windows\system32\pcalua.exe -a "C:\Program Files\Alawar.ru\Остров Нанда\Uninstall.exe"
Task {DCD65EA8-6F21-45B0-8871-D3C335060D70} C:\Windows\system32\pcalua.exe -a C:\Users\TrasteR\Desktop\ClubControlRus_534.exe -d C:\Users\TrasteR\Desktop
Придушил в автозапуске, проехался KSOS2 (который стоял), перезагрулил ей комп, и та же херня.
Что делать? Подскажете? |
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\TrasteR\appdata\roaming\txt.exe','');
DeleteFile('C:\Users\TrasteR\appdata\roaming\txt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы
Сделайте новые логи |
Время: 06:31.
© OSzone.net 2001-