Проблема состоит в следующем.
Появился порнобаннер с параметрами: смс на номер 5121 содержание 1011256. Разблочил с помощью деблокера-касперского.
Диспечер задач на ctrl-alt-del не вызывается, на остальные программы реагирует странно - что-то не запускает вообще, что-то запускает и закрывает, что-то приводит к зависанию, что-то к перезагрузке, что-то к просто выключению.
Загрузился через LIVE-CD (какой-то сделанный с BART-PE Builder), прогнал свежего Virus Removal Tool (слит через флеш с другой машины). Найдено несколько троянов, все удалены.
На всякий случай после этого прогнал AVR 4.32 - чисто.
Перезагрузка с диска C: - все то же самое, что и до чистки.
В придачу получил еще один баннер с парой блондиночек - также снял деблокером.
Логи AVR сделать не получается - комп то виснет, то уходит в ребут. Успел до зависания прогнать только HiJackThis.
P.S.: На всякий случай - ERD Commander на лайв-сд есть.
P.P.S.: Также на всякий случай - HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
для AppInit_DLLs дата C:\WINDOWS\system32\rg.dll
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\system32\rg.dll','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
QuarantineFile('srnh.lto','');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
DeleteFile('srnh.lto');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Попробуйте сделать логи AVZ.
Пофиксить Хайджеком не получается - при попытке запуска Хайджека cистема перезагружается.
Помимо этого периодически вылетает ошибка при загрузке файла srnh.lto (не найден указанный модуль). Также пару раз мелькал на долю секунды второй порнобаннер.
Апдейт: Хайджек пофиксил, при прогоне скрипта появилась надпись "Скрипт выполнен без ошибок", но перезагружать не хочет ни в каком виде. только через кнопку Power.
Последний раз редактировалось Krosh; 20.05.2010 в 15:20.
Причина: добавление информации
Также на всякий случай - HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
для AppInit_DLLs дата C:\WINDOWS\system32\rg.dll
С помощью ERD Commander файл переименуйте и очистите содержимое параметра AppInit_DLLs
Также переименуйте (но не удаляйте) C:\Documents and Settings\All Users\systems.exe
Промежуточные итоги:
С помощью ERD Comm пофиксил реестр, переименовал rg.dll. Файл systems.exe не нашел - видимо касперский потер его при первом проходе.
После этого загрузился, сделал три основных лога, а вот с Combofix какая-то проблема. То есть он запускается, "зеленый бегунок" доходит до конца полоски и все. Ни новых окон, ни файла Сombofix.txt нет. Проверил на всякий случай по всем локальным дискам - пусто.
В папке system32 нужно поискать другие dll-файлы вот такого размера 135168, упаковать их с паролем virus и прислать по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: