-
Junior Member
- Вес репутации
- 53
Черный баннер, 3 порнофото, надо отправить смс!
В обычном режиме не запускался инет, не запускались AVZ и HiJack! Запустил в безопасном режиме комп, запустил HiJack, получил лог, когда появилась та таблица, где можно пофиксить файлы, нашел абсолютно чужеродный файл, он был под номером О20, единственный под этим номером! Пофиксил его, перезагрузил, все работает, но плохо! Далее сделал все по правилам, логи прилагаю! Глючит Internet Explorer, что делать? Заранее спасибо!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
Извините, у меня Vista, не смог отключить Восстановление системных файлов!!! Нет у меня окна "автоматические точки восстановления"
-
Выполните скрипт в avz
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\winagent.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\smss.exe','');
QuarantineFile('C:\Windows\System32\Drivers\eeeeeeea.SYS','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
QuarantineFile('c:\program files\internet explorer\svcnost.exe','');
TerminateProcessByName('c:\program files\internet explorer\svcnost.exe');
QuarantineFile('c:\windows\system32\exploper.exe','');
DeleteFile('c:\program files\internet explorer\svcnost.exe');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('C:\Windows\System32\Drivers\eeeeeeea.SYS');
DeleteFile('C:\Program Files\Internet Explorer\smss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','act0');
DeleteFile('c:\windows\system32\winagent.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Internet Agent');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
После выполнения скрипта и перезагрузки вылезло новое окно-баннер белого цвета, но смысл тот-же, отправьте смс!!! Поступил, как в начале темы! В безопапасном режиме пофиксил О20, сейчас еще постараюсь выполнить скрипт!
-
-
-
Junior Member
- Вес репутации
- 53
отправил карантин, теперь буду выполнять скрипт
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
люди!!!!!! я извиняюсь, но про меня забыли да?(((
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\exploper.exe','');
DeleteFile('C:\Windows\System32\exploper.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Help');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
>> Заблокированы настройки системы System Restore
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
карантин прислал, делаю логи
-
Junior Member
- Вес репутации
- 53
новые логи, возьму комп на работу, там нет подключения к инету
-
Junior Member
- Вес репутации
- 53
жду вердикта, господа! к инету не могу подключить зараженный комп, сам в инете жду ваших указаний)
-
Пофиксить в Hijack следующие строки:
Код:
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
Перезагрузите ПК. Сделайте новый лог Hijack
-
-
Junior Member
- Вес репутации
- 53
пофиксил, перезагрузил, сделал лог, высылаю, что интересно перестал видеть проводник папку hijack, нашел благодаря total commander
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
И что теперь? Скажите кто-нибудь, каков вердикт? Комп здоров?
-
Это у Вас надо спросить, что с проблемой?
Баннер выскакивает? Проблемы с интернетом? Диспетчер задач, редактор реестра работают?
-
-
Junior Member
- Вес репутации
- 53
По-моему все в порядке, спасибо ВАМ огромное!!! Спасибо, что вы есть!!!
P. S. Восстановление системы включить обратно?
-
P. S. Восстановление системы включить обратно?
Можно.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\internet explorer\svcnost.exe - Trojan-Downloader.Win32.Agent.cwfw ( DrWEB: Trojan.DownLoad1.13732 )
- c:\windows\system32\drivers\eeeeeeea.sys - Trojan-Ransom.Win32.Digitala.a ( DrWEB: Trojan.Winlock.493 )
- c:\windows\system32\exploper.exe - Trojan-Clicker.Win32.Delf.cxt ( DrWEB: Trojan.Click.34323, BitDefender: Trojan.Generic.2803128, AVAST4: Win32:Malware-gen )
- c:\windows\system32\winagent.exe - Backdoor.Win32.Buterat.as ( DrWEB: Trojan.Click.31902, AVAST4: Win32:Rootkit-gen [Rtk] )
-