-
Junior Member
- Вес репутации
- 53
Порнобаннер PORNHUB
Вылазиет Порнобаннер Pornhub по середине поверх всех окон. Блокирует практически все приложения, антивирус, боаузеры, диспетчер задач... Есть возможность выхода в инет со второго компа. На зараженной машине загружался с загрузочной Винды XP чтобы проверить на вирусы - но ничего не нашел...
Помогите пожалуйста удалить этот вирус. Очень срочно нужно, не могу работать =((
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этого параметра напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
C:\WINDOWS\system32\dtjblsev.dll
Последний раз редактировалось dj_ken; 04.06.2010 в 00:43.
-
Junior Member
- Вес репутации
- 53
Нашел подобные действия из ветки - http://virusinfo.info/showthread.php?p=647980
Выполнил с ERD Commander:
1. Переименовал указанный мной DLL файл
2. Очистил значение параметра AppInit_DLLs
3. Перезагрузился обычным образом и сделал логи
Что делать дальше?
-
Обновить базы AVZ при помощи автоматического обновления (Файл/Обновление баз)
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\nettir32.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\a4djusb.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\a4djavs.sys','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\nettir32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы (также пришлите переименованный dll файл). Сделайте новые логи по правилам
-
-
А также
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Файл карантина выслал. Переименованный файл DLL не нашел - почему то его там уже нет...
Сделал новые логи, прикрепил - создан был почему-то только virusinfo_syscheck.zip
При выплнении rsit было выдано сообщение связанное с политикой безопасности, обратитесь к администратору, что не может запустится C:\Program Files\Trend Micro\Admin.exe
от RSIT тож прикрепил info.txt и log.txt
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wfboyk.dll','');
QuarantineFile('C:\WINDOWS\system32\mqpxtjzc.dll','');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszpe32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszpe32.exe');
DeleteFile('C:\WINDOWS\system32\wfboyk.dll');
DeleteFile('C:\WINDOWS\system32\mqpxtjzc.dll');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(19);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Карантин выслал.
И вот прикрепляю логи.
-
Что за файлы?
C:\Documents and Settings\Admin\Рабочий стол\njd.d
C:\Documents and Settings\Admin\Рабочий стол\ylb555.d
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Это в самом начале я пытался отловить этот порно-баннер, выискивал dll файлы по дате, переносил на рабочий стол, переименовывал и проверял появится ли банер снова...
Еще какие-то действия нужно выполнять?
На данный момент антивирус теперь нормально запускается, не ругается на админ права. Диспетчер задач тоже не блокируется.
-
В логах чисто
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\главное меню\программы\автозагрузка\nettir32.exe - Backdoor.Win32.Bredolab.exv ( DrWEB: Trojan.Botnetlog.126, BitDefender: Backdoor.Generic.372792, AVAST4: Win32:MalOb-BH [Cryp] )
- c:\documents and settings\admin\главное меню\программы\автозагрузка\siszpe32.exe - Packed.Win32.Krap.ar ( AVAST4: Win32:MalOb-BH [Cryp] )
- c:\windows\system32\mqpxtjzc.dll - Packed.Win32.Krap.gx ( DrWEB: Trojan.Packed.20343, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\wfboyk.dll - Worm.Win32.NeKav.df ( NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Rootkit-gen [Rtk] )
-