-
смс 1830261735787 на номер 3381
На домашнем компьютере появился черный полупрозрачный порнобаннер с двумя девушками по бокам. Запускаются утилитки HijackThis и Gmer
при запуске AVZ комп уходит на выключение.
Перед этим по винчестеру прошелся KIS2010 с последними базами и выявил троянчик "-----.sqzi"
Но порнобаннер остался.
все похоже на тему http://virusinfo.info/showthread.php?t=79477
Сразу пишу по Gmer'у:
в ветке HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows -> параметр AppInit_DLLs
имеет значение
c:\windows\system32\z.dll
Прочитав предыдущие похожие темы, я обнулил значение этого параметра и затем запустил AVZ и hijackthis (все сделал в соответствии с правилами)
логи прилагаю.
AVZ был запущен под именем (переименован в) avz.com
hijackthis - под strange.com
Последний раз редактировалось crush13; 28.05.2010 в 17:07.
Причина: edit
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
DeleteFile('C:\WINDOWS\system32\srnh.lto');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('C:\Documents and Settings\lusa.KL-PR-BABYAK\Application Data\msmedia.dll','');
DelBHO('{88888888-8888-8888-8888-888888888888}');
DeleteFile('C:\Documents and Settings\lusa.KL-PR-BABYAK\Application Data\msmedia.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(16);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
thyrex,
Результат загрузки
Файл сохранён как 100529_142719_virus_4c00ec074fdde.zip
Размер файла 1223
MD5 2f6fbeefd1fd868b8a50570ba0b20129
Файл закачан, спасибо!
логи приложу чуть позже.Спасибо за быстрый ответ.
-
прилагаю логи.
снова:
AVZ - это avz.com
hijackthis - strange.com
combofix - переименовывал в Combo-Fix.exe
-
c:\windows\system32\msgsvc.dll замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654
Больше ничего плохого
Удалите ComboFix
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
thyrex, спасибо большое
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-