pornohub

[Лусли]

появилась табличка с вымогательством по смс pornohub.com
код активации не подобрался.
ни в безопасном, ни в опасном режиме:
1 - не запускаются антивирусные программы даже в переименованном виде (drweb cureit, avz) - сразу комп идет в ребут.
2 - не исчезает окно вируса (но оно не на весь экран, поэтому управлять окнами худо-бедно можно)
насколько я поняла, вирус распаковывает офисные приложения и табличка с вымогательством - надстройка word. удаление офиса и загруженных фалов эффекта не дало: при перезагрузке вирус.файлы снова самораспаковываются.

хайджек работает, но я не вижу ничего ужасного там. посмотрите, пожалуйста.
может быть, также подскажете способ запустить avz?

[thyrex]

1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

параметр

Код:

AppInit_DLLs

Содержимое этого параметра напишите в своем сообщении

[Лусли]

C:\WINDOWS\system32\wqmbe.dll

[thyrex]

Выполните с ERD Commander:
1. Переименуйте указанный Вами файл
2. Очистите значение параметра AppInit_DLLs
3. Перезагрузитесь, загрузитесь в нормальном режиме и выполняйте правила

[Лусли]

.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\fioxahr.exe','');
 QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
 DeleteFile('C:\WINDOWS\system32\srnh.lto');
 DeleteFile('C:\WINDOWS\system32\fioxahr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Лусли]

.

[polword]

В логах чисто.Что-то еще беспокоит?

- Поставте все последние обновления системы Windows - тут
- поставте Adobe Reader 9.3 или удалите старый.

[Лусли]

беспокоит вот что:
1. установка и удаление программ грузится почему-то оч долго (минуты 3-5). но это может быть связано и не с вирусами
2. собственно, в этом окне имеется программа под названием "webfldrs xp" без указания сведений о программе и возможности ее там удаления..

[Лусли]

а?

[polword]

Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Лусли]

.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ExecuteRepair(19);
RebootWindows(true);
end.

Компьютер перезагрузится.

Больше ничего необычного

[Лусли]

проблема не исчезла, но видимо дело не в вирусе. попробую разобраться.
спасибо за помощь

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены