-
Junior Member
- Вес репутации
- 51
2 Порноинформера в нижней части экрана
Добрый день! Как всегда, требуется помощь: в нижней части экрана два порноинформера (с одним я уже сталкивался - удалял из автозапуска movie.exe процесс и сносил в реестре по поиску ветки на него). В обычном режиме никакие процессы соответственно не запускаются, при подключении флешки с защитой от записи бесконечное число ошибок SVOHOST.exe, загрузился через безопасный режим, сделал логи (подозреваю, что остались какие-то куски от предыдущих вирусов, например папка "runauto.." в корне диска С. Хотел было уже удалять вручную, но решил перестраховаться и попросить помощи специалистов. Посмотрите, пожайлуста, логи.
P.S.: только не пишите, что нужно обновить систему и т.д. Сам знаю, компьютер не мой, сервис пак и иже с ними будут в обязательном порядке установлены только после лечения.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RUNAUT~1\autorun.pif','');
QuarantineFile('C:\WINDOWS\WEB\smss.exe','');
QuarantineFile('C:\Documents and Settings\Серж\Application Data\iqmkqdpg.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Media\movies.exe','');
DeleteFile('C:\Documents and Settings\All Users\Media\movies.exe');
DeleteFile('C:\Documents and Settings\Серж\Application Data\iqmkqdpg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PC Health Status');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PC Health Status');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Module');
DeleteFile('C:\WINDOWS\WEB\smss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','lsass');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lsass');
DeleteFile('C:\RUNAUT~1\autorun.pif');
DeleteFile('C:\autorun.inf');
DeleteFileMask('C:\RUNAUT~1', '*.*', true);
DeleteDirectory('C:\RUNAUT~1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(11);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
карантин выслал, логи приложил, баннеры с рабочего стола исчезли, при подключении флешки ошибками не сыпет
-
ProxyServer = http=127.0.0.1:41653;
Ваш прокси?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
да вроде бы нет, к сожалению я не силен в сетях, на компьютере имеется VPN-подключение для доступа к локальной сети и интернет... но-помоему там нигде прокси не нужно прописывать? как быть? где или у кого узнать?
-
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:41653;
-
-
Junior Member
- Вес репутации
- 51
пофиксил. новые логи, я думаю, нет смысла высылать, похоже что чисто. И тему можно закрыть. Спасибо thyrex и polword за предоставленную помощь!
-
лог hijackthis.log - повторите пожалуйста
-
-
Junior Member
- Вес репутации
- 51
-
Осталось обновить систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\autorun.inf - Worm.Win32.AutoRun.dms ( DrWEB: Win32.HLLW.Autoruner, BitDefender: Trojan.Autorun.AHE, NOD32: Win32/Delf.AWS trojan, AVAST4: VBS:Malware-gen )
- c:\documents and settings\all users\media\movies.exe - Trojan-Ransom.Win32.XBlocker.aiw ( DrWEB: Trojan.Fakealert.16859, BitDefender: Trojan.Generic.4217340, AVAST4: Win32:Malware-gen )
- c:\documents and settings\серж\application data\iqmkqdpg.exe - Trojan-Ransom.Win32.DigiPog.rw ( BitDefender: Gen:Trojan.Heur.fy0@r5sCxxaiz )
- c:\runaut~1\autorun.pif - Backdoor.Win32.Delf.pes ( DrWEB: BackDoor.Kais, BitDefender: Worm.Generic.64465, NOD32: Win32/Delf.NFP trojan, AVAST4: Win32:GrayBird-IO [Trj] )
- c:\windows\web\smss.exe - Backdoor.Win32.IRCBot.ikr ( DrWEB: Win32.HLLW.Sinfin.origin, BitDefender: Backdoor.Bot.96338, NOD32: Win32/IRCBot.ANJ trojan, AVAST4: Win32:Trojan-gen )
-