Thunderbom Опубликовано 12 декабря, 2009 Поделиться Опубликовано 12 декабря, 2009 На пол экрана висит баннер, что доступ в сеть заблокирован с уведомлением о необходимости активации ПО File Downloader. Предлагает слать смс. Интернет не работает, сам комп прилично тормозит, процессы svchost (один из них, отвечающий за звук) и tcpsvcs занимают каждый по 50% процессорного времени. Убиением всех лишних процессов и подчисткой автозагрузки msconfig-ом особо ничего не добился, хотя явно там были лишние подозрительные файлы. Подскажите пожалуйста, как бороться с этой штукой, и не подцепить ее вновь? virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Venus Doom Опубликовано 12 декабря, 2009 Поделиться Опубликовано 12 декабря, 2009 (изменено) Выполните скрипт в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\Temp\cpuz_x32.sys',''); DeleteService('cpuz129'); QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll',''); DeleteFile('C:\WINDOWS\system32\aekgoprn.dll'); DeleteFile('C:\WINDOWS\Temp\cpuz_x32.sys'); BC_ImportALL; ExecuteSysClean; BC_Activate; Sleep(300); RebootWindows(true); end. Дождитесь перезагрузки Сделайте новые логи Изменено 12 декабря, 2009 пользователем Venus Doom Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 12 декабря, 2009 Поделиться Опубликовано 12 декабря, 2009 + к Venus Doom 1. запустить программку, что в аттаче. ПК будет перезагружен. 2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного. get2.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Thunderbom Опубликовано 12 декабря, 2009 Автор Поделиться Опубликовано 12 декабря, 2009 Ооо! Всем огромное спасибо! Баннер пропал, инет заработал. Осталось восстановить то лишнее, что удалил при попытках самолечения Подскажите пожалуйста, как эта зараза пролезла и как от нее защититься на будущее и тему можно закрывать. Подозрение есть: в опере зайдя на один из сайтов в поисках софта нажал на крестик в плавающем рекламном окошке - как всегда открылось еще пару окон с порнухой какойто, и появилось виндовское окно на пол экрана с заголовком javascript, в котором предлагали послать тоже смс куда-то. При закрытии окошка открывалось аналогичное, оперу закрыть тоже не получалось, нажал ресет. Потом как комп загрузился - еще где-то в районе получаса вроде нормально работал, а потом вылез баннер. Стоит Нод32 с активной защитой - пропустил. Как уберечься-то? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 12 декабря, 2009 Поделиться Опубликовано 12 декабря, 2009 Логи новые сделайте Ссылка на комментарий Поделиться на другие сайты Поделиться
Thunderbom Опубликовано 12 декабря, 2009 Автор Поделиться Опубликовано 12 декабря, 2009 Сейчас вроде все нормально, подозрений на инфекцию нет. Вот последние логи после излечения. Еще раз спасибо! Очень оперативно! virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 12 декабря, 2009 Поделиться Опубликовано 12 декабря, 2009 Ответ и рекомендацию уже получили на ВирусИнфо Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти