-
Junior Member
- Вес репутации
- 53
Порнобаннер и Get Accelerator заблокировали выполнение программ
Помогите пожалуйста!
Вначале в компьютер проник порнобаннер: не запускается ни одна программа через 30-60 сек. после включения компьютера, затем при попытке запустить любую программу на середину экрана выскакивает порнобаннер. Также вирус убрал кнопку отключения компьютера в меню "пуск". Через день появился баннер с Get Accelerator.
В безопасный режим выйти не могу - вирус отключает компьютер. АВЗ удалось запустить в переименованном виде (переименовал в 1.com), также как и hijackthis.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack следующие строки:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\ZySNU.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\ezShellStart.exe,C:\WINDOWS\system32\sdra64.exe,
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
Перезагрузите ПК
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('I:\autorun.inf','');
QuarantineFile('C:\WINDOWS\System32\Drivers\knqnjvfs.SYS','');
QuarantineFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\kwlcqpow.sys','');
QuarantineFile('C:\WINDOWS\system32\ZySNU.dll','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
QuarantineFile('i:\distrib\1.com','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
TerminateProcessByName('i:\distrib\1.com');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
DeleteFile('i:\distrib\1.com');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
DeleteFile('C:\WINDOWS\system32\ZySNU.dll');
DeleteFile('C:\DOCUME~1\Anna\LOCALS~1\Temp\kwlcqpow.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\knqnjvfs.SYS');
DeleteFile('I:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(1);
Executerepair(6);
Executerepair(8);
Executerepair(10);
Executerepair(11);
Executerepair(16);
Executerepair(17);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 53
i:\distrib\1.com - это я так переименовал avz.exe - она сама себя как вирус определила . Я могу удалить строчки с 1.com из скрипта?
-
Сообщение от
salex68
Я могу удалить строчки с 1.com из скрипта?
Можете
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Профксил, выполнил скрипты, высылаю логи. Вроде вирусы исчезли?
-
1. Выполните скрипт в AVZ:
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\smss.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\smss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','act0');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
2. Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы
3. Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Выполнил скрипты, высылаю логи.
-
-
-
Junior Member
- Вес репутации
- 53
Проблемы больше нет! Большое спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\knqnjvfs.sys - Rootkit.Win32.Thost.a ( DrWEB: Trojan.Winlock.508, NOD32: Win32/Sirefef.A trojan, AVAST4: Win32:FakeAlert-FC [Trj] )
- c:\windows\system32\overlapp32.dll - Trojan-Banker.Win32.Delf.ap ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2775233, NOD32: Win32/Spy.Delf.OAH trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.440, AVAST4: Win32:Patched-KP [Trj] )
- c:\windows\system32\zysnu.dll - Trojan.Win32.Agent.dcou ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
-