-
Junior Member
- Вес репутации
- 59
порно-баннер
Приветствую уважаемый форум!
Порно-баннер на половину рабочего стола, требует отправить 2 SMS с текстом Т701016100 на номер 3381.
Такой комбинации нет на спец. ресурсах DrWeb и Касперского..
Сначала не давал запускать АВЗ, ХиДжек запускался но не давал ничего фиксить... После изучения лога Хиджека, загрузился с LiveCD, что-то поубивал в реестре + плюс пеерименовал подозрительный файл в system32 из mfml.dll в mfml.bad
После этого удалось запустить АВЗ (к сожалению при работающем антивирусе Касперского - его не удается отключить т.к. иконки в трее нет, запускать не дает - Пишет про ограничения политики на это приложение, но активности диска понимаю что Касперский работает)
Прошу помощи - посмотрите пожалуйста, логи! Под юзером, которым делал все вышеописанные танцы баннер пропал, если логонится другим юзером - баннер присутствует
AVZ запущен был как 777.pif
P.S. Под другими пользователями баннер пропал тоже.. Так что жалоб получается на данный момент нет - прошу посмотреть логи на предмет остаточных явлений видимА....
Последний раз редактировалось Reanimator177; 17.05.2010 в 20:04.
Причина: Добавление
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Reanimator177
плюс пеерименовал подозрительный файл в system32 из mfml.dll в mfml.bad
Запакуйте этот файл с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Выполните скрипт в AVZ
Код:
begin
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\WINDOWS\system32\mfml.dll');
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
файл выслал. Новый лог прилагаю. спасибо
-
Прошу прощения. Выдал ошибочную рекомендацию
Выполните скрипт в AVZ
Код:
begin
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\PROGRA~1\KASPER~1\KASPER~2.0FO\adialhk.dll');
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог + проверьте работу антивируса
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
сделал. Антивирус как будто работает
Новый лог прилагаю.
-
Плохого не видно. Переименованный файл вируса можете удалить.
Попробуйте поискать во временных папках всех пользователей (включая временные папки Интернет), в папке system32 exe-файлы с необычным именем из бессмысленного набора букв, цифр. Если найдутся, пришлите по красной ссылке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \mfml.bad - Backdoor.Win32.Agent.avcf ( DrWEB: Win32.HLLW.Autoruner.21042, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )
-
