-
Junior Member
- Вес репутации
- 53
Порнобанер даже в безопасном режиме!
Появился чёрный порнобанер с текстом M20920007
Ничего не запускается, даже в безопасном режиме HJ если делает лог, то потом невозможно пофиксить например F2 потому что баннер поверх всех окон и не даёт нажать «ОК» в центре экрана. Никакие утилиты и анти вирусы не могут запуститься! Что делать? Может уже есть код разблокировки? В списке на сайте DrWebего ещё нет. Стандартные коды 13616 и прочие не подходят. Подскажите, просто хотя бы снять на пару минут, чтобы логи сделать.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
всё что удалось это лог на HJ
-
Постарайтесь пофиксить в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\wWhCb.dll
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
Если удастся, то после перезагрузки все должно получиться.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
ок! что теперь делать? я пока поставил сканер Virus Removal Tool пусть ищет. Или сразу логи делать на avz ?
-
Пусть отработает сканер, потом сделайте комплект логов по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Вирусы были, утилита из немного погоняла. Выкладываю логи
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
QuarantineFile('C:\WINDOWS\system32\wWhCb.dll','');
DeleteFile('C:\WINDOWS\system32\wWhCb.dll');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=61476).
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Вот этот вирус постоянно появляется, хотя его постоянно удаляет антивирус:
C:\WINDOWS\system32\sdra64.exe
-
Обновите базы AVZ и сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
карантин прислал после скрипта
-
Junior Member
- Вес репутации
- 53
Новые логи
После перезагрузки комп постоянно исправляет ошибки, но восстановление системы отключено
-
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Больше ничего плохого не видно.
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-