Решена - mayachok.1 и Trojan.Win32.bkiu

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем upiter, 18 окт 2011.

Статус темы:
Закрыта.
  1. upiter

    upiter Junior User

    Началось с того, что страничка яндекса, перенаправлялась на internet.com потом некоторые страницы перестали открываться, некоторые очень долго. Зашел на сайт обновления виндовс, там фальшивая станица, которая говорият якобы у меня вирус Trojan.Win32.bkiu и предлогает обновить браузер и отправить смс.
    Просканировал Dr.Web CureIt, обнаружился mayachok.1.
    Пожалуйта, помогите, самостоятельно не справился.

    http://narod.ru/disk/28773801001/hijackthis.log.html
    http://narod.ru/disk/28773867001/virusinfo_syscheck.zip.html
    http://narod.ru/disk/28773928001/virusinfo_syscure.zip.html
     
    upiter, 18 окт 2011
    #1
  2. Nod

    Nod Moderator

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('\Device\HarddiskVolume1\WINDOWS\system32\1048\e5v5ip36\139DEDF4-C170EC72-28E85F0E-B8474082\ad107_xp.exe'); 
 StopService('smserial');
 DeleteService('smserial'); 
 DeleteFile('\Device\HarddiskVolume1\WINDOWS\system32\1048\e5v5ip36\139DEDF4-C170EC72-28E85F0E-B8474082\ad107_xp.exe');
 DeleteFile('C:\WINDOWS\system32\qtlonva.dll');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\smserial.sys');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\qtlonva.dll\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
     
    Nod, 18 окт 2011
    #2
  3. upiter

    upiter Junior User

    upiter, 19 окт 2011
    #3
Статус темы:
Закрыта.

Поделиться этой страницей