Банер от uacontroller.com
Поймал гадость! Баннер на пол экрана с предложением "за СМС избавиться". Даже в безопасном режиме есть.
Заблокирован Диспетчер задач и регедит.
Пришлось изменить разрешение экрана до комариного хоботка. И выполнить проверку.
Найден и удалён Trojan. Siggen.32676 в userlib.dll
Баннер пропал, но комп тормозит. Где-то остались куски?
Логи:
Последний раз редактировалось InDaHouse; 29.03.2011 в 23:20.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Сделайте новый лог HijackThis + такой лог: http://virusinfo.info/showthread.php?t=53070Код:O2 - BHO: MS Media Module - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\msmedia.dll (file missing)
Сейчас они у вас заблокированы или нет (в логах нет сообщений о их блокировке)?Заблокировал Диспетчер задач и регедит
Последний раз редактировалось Ingener; 08.12.2009 в 17:14.
GHETTO/STREET WORKOUT
Мои извинения за некорректность - "вирус заблокироваЛ доступ к ДЗ и Редактору реестра".Сейчас они у вас заблокированы или нет (в логах нет сообщений о их блокировке)?
Сам банер практически на весь экран, и перекрывает кнопки запускаемых программ.
Выход нашёл один - сделать максимально возможное разрешение экрана: ( правая кнопка мыши по ещё свободной области рабочего стола - Свойства - Параметры: и здесь бегунок вправо до максимума). Банер установку свойств экрана не перекрыл.
После этого у меня получилось перетащить из под банера, до этого запущенного др. вэба, что-бы "нажать" на кнопку выполнить, ну а потом- авз, для запуска скриптов.
Добавлено через 1 минуту
Новые логи утром.
Последний раз редактировалось InDaHouse; 08.12.2009 в 23:37. Причина: Добавлено
Новые логи:
Последний раз редактировалось InDaHouse; 29.03.2011 в 23:20.
1) Пофиксите в HijackThis:
2) Удалите в mbam:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\575B~1\LOCALS~1\Temp\dasB8 A9.tmp
2) Выполните скрипт в AVZ:Код:Заражено ключей реестра: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\DOCUME~1\575B~1\LOCALS~1\Temp\dasB8 A9.tmp',''); DeleteFile('C:\DOCUME~1\575B~1\LOCALS~1\Temp\dasB8 A9.tmp'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(11); ExecuteRepair(17); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip из папки с AVZ (если архив будет не пустой) закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Сделайте логи:
- hijackthis.log
- virusinfo_syscheck.zip
- mbam-log
4) Опишите есть ли какие-либо проблемы у вас на данный момент.
GHETTO/STREET WORKOUT
Карантин AVZ - пустой.
При выполнении скрипта возникала ошибка "Диск отсутствует".
После всех операций система работает, похоже, как и до заражения.
Свежие логи:
Последний раз редактировалось InDaHouse; 29.03.2011 в 23:20.
В логах чисто.
Проблема решена?
GHETTO/STREET WORKOUT
Думаю, что ДА!
Уважаемый(ая) InDaHouse, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
