-
Junior Member
- Вес репутации
- 53
Заставка 50% экрана с требованием СМС
При запуске компа появляется порно заставка. Погасить можно в FAR убив процесс rundll32.exe. Запускается снова при попытке запуска практически любой программы. В процессах вижу, например "запущенную" программу и rundll32. Процесс программы через несколько секунд исчезает, а rundll32 опять через "kill".
Диспетчер задач не активен. Разблокирование в реестре не помогает, т.е. становится активным на одну попытку запуска, но не запускается. В реестр можно войти не в любой раздел.
Восстановление системы не отключается, т.к. нет такой вкладки, а при попытке входа в реестр FAR закрывается.
Загрузочный СD с DrWeb и CureIT вирусов не нашли. Лог CureIT прилагаю. Не смог ужать до нужного размера...
Из программ, которые создают необходимые логи запустить смог только HijackThis, но и его работа закончилась закрытием сетевых подключений (которых нет) и зависанием компа с заставкой для входа - когда просят нажать 3 клавиши. Попытка посмотреть созданный логфайл приводит к такому же результату. Помогает только RESET.
Выполнить правила форума по создании просьбы о помощи вирус не дает. Прикладываю только то, что смог сделать. Точнее только то, что смог вложить в сообщение, т.к. "915.9 Кб превысил(а) предел на форуме", а лог CureIT в rar-архиве 1893 кб.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксте в HijackThis строку:
O20 - AppInit_DLLs: C:\WINDOWS\SYSTEM32\SBMVY.DLL C:\PROGRA~1\GOOGLE\GO333C~1\GOEC62~1.DLL
Перезагрузите компьютер и попробуйте сделать логи AVZ.
-
-
Junior Member
- Вес репутации
- 53
Сегодня утром при включении компа заметил, что загрузка идет несколько иначе чем последнюю неделю. Экран меняется по другому. "Болею" с понедельника...
В результате все программы запускаются и порнозаставка не появляется.
Вчера забыл написать, что HijackThis запускал с флэшки, т.к. при копировании файла на комп он автоматически удалялся через несколько секунд. Сегодня после включения также удалялся.
Пофикстил строку указанную AndreyKa.
Лог AVZ смог сделать.
Извините, но после обеда уезжаю в командировку до субботы...
-
Junior Member
- Вес репутации
- 53
Ручками поправил в реестре доступ к редактору реестра и к диспетчеру задач. Все работает???
Осадок, однако, остался...
Командировка отменилась.
Жду любой помощи!
СПАСИБО!!!
-
Новые логи после ручных правок предоставьте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Иван Нагорный\Иван Нагорный.exe','');
DeleteFile('C:\Documents and Settings\Иван Нагорный\Иван Нагорный.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Иван Нагорный');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Скрип выполнил.
Карантин выслал.
Новые логи прилагаю.
-
-
-
Junior Member
- Вес репутации
- 53
Вижу, что чисто. Этот "авторанер", который соответствует имени пользователя, не мог вызывать всех нарушений, которые у меня были в течении недели!
А вирус, получается САМОЛИКВИДИРОВАЛСЯ...
И обнаружить его не было возможности и бороться с ним тоже нечем, пока нечем.
Всем спасибо!
P.S. Может кто-нибудь подскажет, что у меня было!
-
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\SYSTEM32\SBMVY.DLL','');
QuarantineFile('C:\PROGRA~1\GOOGLE\GO333C~1\GOEC62~1.DLL','');
end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
-
-
Junior Member
- Вес репутации
- 53
Файл из карантина отправил.
-
Выполните скрипт в AVZ
Код:
begin
DeleteFile('C:\WINDOWS\SYSTEM32\SBMVY.DLL');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
SUPERAntiSpyware удалите
Больше ничего плохого
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Сообщение от
nfhfynek
Может кто-нибудь подскажет, что у меня было!
C:\WINDOWS\SYSTEM32\SBMVY.DLL - Packed.Win32.Krap.w
-
-
Junior Member
- Вес репутации
- 53
Спасибо вам всем за помощь!
Не понимаю, почему же самые свежие версии DrWeb не нашли эту заразу!
И чего ожидать в дальнейшем?
Еще раз БОЛЬШОЕ СПАСИБО!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sbmvy.dll - Packed.Win32.Krap.w ( DrWEB: Trojan.BrowseBan.129 )
-