-
Junior Member
- Вес репутации
- 56
черный порнобаннер. очень злой
Очень злой мне попался баннер. Все рубит. Авз не запускается ни под каким именем. Сразу перезагрузка. Удалось сделать хайджек лог (под именем гейм.екзе), но опять же перезагрузка. Это в безопасном режиме. В обычном баннер сразу появляется.
Как мне пофиксить систему, если даже переименованый хайджек в безопасном режиме рубиться?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\FuvEh.dll
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - JVMOD32.DLL (file missing)
и сразу перезагрузите компьютер.
После этого делайте все логи по правилам, должно получиться.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
Итак, что мы имеем? Те 2 строчки пофиксил. Запустил перименованный хейджек (1.цмд), выбрал скан без лога и вышло. Баннер пропал. Работоспособность восстановлена. Высылаю сделанный логи авз и новый хейджек.
Продупреждаю: вчера наш сисадмин полностью перелопатил систему и, возможно, логи информативности уже не несут. Но что-то в системе таки болтается (авира не хочет корректно работать).
Если что-то в логах увидется - хорошо, нет - ну и ладно, на том спасибо
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\ulib.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
QuarantineFile('C:\WINDOWS\system32\FuvEh.dll','');
DeleteFile('C:\WINDOWS\system32\FuvEh.dll');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
>> Заблокированы настройки системы System Restore
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - исправить отмеченное - Исправить
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Карантин выслал.
Логи креплю.
Систем рестор в авз отключить не могу, мой профиль существенно ограничили в правах
-
Сообщение от
Strider_
мой профиль существенно ограничили в правах
Кто это так? Пусть тогда Ваш администратор сам исправляет
А заодно позаботится об этом
Установите SP3 (может потребоваться активация) + все новые заплатки
В остальном порядок
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 56
Считайте сделано
Всем спасибо огромное
Можно закрывать тему или как тут это )
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\fuveh.dll - Trojan-Ransom.Win32.SMSer.su ( DrWEB: Trojan.Winlock.499, BitDefender: Trojan.Generic.2807377, NOD32: Win32/Agent.QJZ trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.has ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2613831, AVAST4: Win32:Malware-gen )
-