-
Junior Member
- Вес репутации
- 56
Порнобаннер 3381
Здравствуйте. Беда с порнобаннером. В обычном режиме почти все exe-шники не запускаются, вместо этого открывается заново баннер, если его убить. При попытке запустить антивирусные утилиты - комп уходит в ребут. Запустился только переименованный Hijack в безопасном режиме, сделал лог и комп ушёл в ребут.
Удалял srnh.lto vfczten.exe и несколько dll в system32 и темпе пользователей, не помогло. При запуске любого приложения вылезает баннер и восстанавливаются dll. Из реестра удалял запись srnh.lto. Также никаких результатов.
Все действия производил подсоединив винчестер к другому компьютеру, на том работать в принципе невозможно.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
Как скачаете отпишитесь
Добавлено через 2 минуты
надо будет посмотреть в реестре:
ветку
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
содержание параметра
AppInit_DLLs
Последний раз редактировалось polword; 25.05.2010 в 11:51.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 56
-
Загружали удаленный куст перед поисками?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Извините. Просмотрел через Gmer.
Значение параметра
C:\WINDOWS\system32\cah.dll
-
Ключик поправить. Эту dll переименовать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
-
очистить
Добавлено через 39 секунд
после, попробуйте загрузиться в обычном режиме и сделать комплект логов по правилам
Последний раз редактировалось polword; 25.05.2010 в 12:41.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 56
Большое спасибо. dll-ку переименовал, реестр почистил, работает всё так как положено.
Логи:
-
Dll-ky пришлите через карантин AVZ. Для зачистки от "хвостов" надо сделать лог ComboFix.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
лог Комбофикса(надеюсь всё правильно):
Последний раз редактировалось bremlin; 25.05.2010 в 19:20.
-
virusinfo_cure.zip из вложений удалите и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Удалите ComboFix
Пофиксите в HiJack
Код:
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
Больше плохого не видно
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \cah_.dll - Packed.Win32.Krap.gx ( DrWEB: Trojan.Winlock.1678, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Rootkit-gen [Rtk] )
-