-
Junior Member
- Вес репутации
- 52
sms на №3381
у знакомого появился банер требующий отправить смс на 3381
зделал, как советовали другим, т.е. загрузился с erd comander
То что было прописано в реестре HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows с AppInit_DLLs нашел и изменил имя файла, соответствующую запись удалил. После этого делал восстановление c помщью AVZ, проверил MBAM, после применил Cureit. Все заработало, но через пару дней опять появился этот банер. Проделал все заново, теперь высылаю логи. Прошу помочь вычистить комп до конца.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите базы AVZ!!!
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
QuarantineFile('C:\WINDOWS\system32\smwyqca.exe','');
DeleteFile('C:\WINDOWS\system32\smwyqca.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Прилагаю лог от ComboFix
Карантин и новые логи сделаю завтра
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\ommijwox.dll
c:\windows\system32\zu.dll
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Прилагаяю новые логи, правда когда выполнял 3й стандартный скрипт в AVZ вспомнил отключить инет тока когда проверка прошла на 2/3
Еще просили приложить карантин, я не понял о чем шла речь о папке "Quarantine" или архиве "virusinfo_cure.zip". Поясните пожалуйста чайнику
-
Сообщение от
Sonchus
Еще просили приложить карантин, я не понял о чем шла речь
Прочтите Приложение 3 правил
Удалите ComboFix
Больше ничего плохого
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-