Спільнота Zillya!

[goritar]

Копия письма, направленного в службу потдержки support@zillya.com. Может когото заинтересуют мои мытарства, тем более что проблема частично решена.
_______________________________________________________________________________
Схватил порнобаннер. Ссылка на pornohub (по памяти, возможно ошибся в написании).
Просил выслать текст 35104311 на номер 5121. Виндовс был полностью заблокирован
кроме браузера, в том числе и в сейв моде с потдержкой командной строки. Смог зайти
только из под пользователя с ограниченной учётной записью. Однако сканирование
Zillya не помогло. Также как и сканирование последним DrWeb LiveCD, скачанным с оф
сайта вчера. (Без малого девять часов, зараза). Проблема частично решилась с помощью
этого: http://www.drweb.com/unlocker/index/, подошла комбинация Ctrl+Alt+Shift+I
(или J, не помню). Однако троян остался, проявляется в том что блокируется запуск
утилит DrWeb CureIt и AVZ (Zillya при этом был отключен). Сам Zillya запускается
нормально, но по прежнему ничего не находит. С помощью Total Comandera в директории
Windows/system32 нашёл подозрительный файл IKTFw... .exe (прикреплён 111IKTFKWzsivhuq.rar). Подозрительность проявлялась в том что сам файл и его архив даже после переименовывания (добавления еденичек перед названием архива) были невидимы, те никак не отображались в експлорере не смотря на то что все необходимые
опции были выставленны). Увидеть их можно было только в TC. А также, еще несколько свежесозданных екзешников в темповых папках: h2.exe, bldjad.exe, svhost[1].exe (тоже выслал). В конце концов удалось запустить полиморфный вариант CureIt {mink (1)} проблема не решилась(лог прилагается). К сожалению, сохранился только самый последний лог, уже после всех манипуляций.
P.S: моя система Windows XP Home sp3, браузер Google Chrome но в тот же день юзал Firifox 3.6.
___________________________________________________________________________________________________
P.P.S: файлы прилагаю и сюда, если у кого аналогичные симптомы отпишитесь плиз кто как боролся, если не сложно.

[goritar]

Остальные файлы (не знал как добавить)

[zorba]

Есть утилита uvs http://soft.oszone.net/program/8729/Uni ... iffer_uVS/ так она мне помогла 15 сек. и порнобанер был удалён так же и другим помогло буду рад если поможет.

[goritar]

zorba, спасибо за прогу. С помощью её удалось найти и убить dllку с таким же именем как и название exeшника в первом архиве. Сам архив и копия злополучного exeшника сразу стали видимы :) Правда, причина того, что у меня не запускались AVZ и CureIt после разблочки, скорее всего, в моих кривых руках. Каким то образом я умудрирился скопировать битые исполняемые файлы. После перезакачки все заработало.
Присоединяюсь к рекомендациям zorb по поводу утилиты uvs - реально полезная штука. Позволяет не только удалить зловреда, но и избавится от большинства возможных последствий его атаки. Инструкции по пользованию есть в архиве.