-
Junior Member
- Вес репутации
- 56
Порно реклама
При запуске системы (иногда просто через некоторое время после загрузки, иногда сразу после попытки запустить любой исполняемый файл) вылазит чёрное окно с тремя порнокартинками. Само окно без названия, вверху надпись "Рекламная панель устанавливается только при посещении нашего сайта", далее разные сайты, внизу "Для отключения рекламы Вам необходимо указать код разблокировки" и т.д.
Согласно Вашему руководству:
После загрузки инструментов:
1. Штатный антивирус (НОД32 версии 3) не запускается, выдаётся информация от его процесса об "память не может быть "written"".
2. При попытке запуска утилиты DrWeb CureIt! с расширением .exe, появляется вышеописанное окно. При запуске этой утилиты с расширением .com происходит тоже самое.
3. При попытке распаковать AVZ или зайти в её папку компьютер перезагружается. После переименования, например, в 3.exe снова появляется "окно", либо, если оно уже висело, ничего не происходит.
5. В свойствах системы вкладки "Восстановление системы" нет. При попытке зайти в Пуск - Программы - Стандартные - Служебные - Восстановление системы выдаётся окно с надписью "Восстановление системы отключено групповой политикой. Для включения восстановления системы свяжитесь с администратором домена".
Диагностика:
1. и 2. AVZ запустить не удаётся.
3. После долгих манипуляций получилось сделать лог hijackthis.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\gbNng.dll
После перезагрузки сможете сделать полный комплект логов
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Пофиксил. Выкладываю логи.
-
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\3\3.exe','');
QuarantineFile('C:\WINDOWS\system32\igfxpph.dll','');
ExecuteRepair(13);
ExecuteRepair(17);
ExecuteRepair(11);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Скрипт выполнил. Может будет полезно: файл F:\3\3.exe - это переименованный мной avz.exe, который я пытался подпихнуть на флешке. Высылаю карантин.
И подскажите, комп уже чист? А то восстановление системы не включается.
Последний раз редактировалось Immortal; 30.11.2009 в 11:49.
-
Файл в карантине чистый. "Восст. системы" можно восстановить через "Мастер решения проблем"
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Только что поставил НОД32 заново, обновил. Попробовал запустить восстановление системы, НОД нашёл опять тот же троян C:\WINDOWS\system32\gbNng.dll. Что за "Мастер решения проблем" и где он?
-
AVZ - Файл - Мастер поиска и устранения проблем.
Нод нашел просто неактивный троян.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Спасибо огромное. Очень помогли.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-