-
Junior Member
- Вес репутации
- 53
Еще один порнобанер
Появился со вчерашнего дня , проблемы те же что и большинство здесь описанных: не запускалась ни одна программа в т.ч. и NOD32, реестр ч/з regedit не загружался, Wind в безопасном режиме загружался также с появлением банера , при загрузке в обычном режиме банер появлялся при попытке запустить файлы с расширением .exe, .com, .bat,
Сохранил на жестком диске AVZ, HijackThis, попытался их запустить - при таких попытках винд начал сваливаться в перезагрузку. ничего не помогало.
Удалось все таки запустить HijackThis скачанный отсюда: http://virusinfo.info/soft/1.zip .
Перед запуском HijackThis переименовал game.exe в game.pif ( Wind работал в обычном режиме) Запустился!!! Пофиксил с помощью HiJackThis, далее перезагрузился- банер исчез.
Запустил AVZ уже с .exe - все заработало!!!
логи здесь:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Cистемное восстановление
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\mssrvc.sys','');
QuarantineFile('c:\windows\system32\mssrvc.tmp','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(8);
ExecuteWizard('TSW',2,2,true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
ClearHostsFile;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Что такое Bonjour Service и как его удалить. http://virusinfo.info/showthread.php?t=27923
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи по правилам
Последний раз редактировалось миднайт; 02.12.2009 в 00:23.
-
