-
Junior Member
- Вес репутации
- 55
Рекламный модуль эро-видео сайта pornhub.com
Здравствуйте! Поймал эту заразу - рекламный модуль. Заблокировало всё! В безопасном режиме не запускаются ни Curelt, ни AVZ, ни HiJack. Не могу открыть ни одну программу на компьютере... Либо вылезает баннер - просит отправить код 1850101787867 на 3381, либо просто завершается сеанс и выключается компьютер. Сейчас пишу с другого, так как на инфицированном инет не работает.
Подскажите с чего начать лечение? Заранее спасибо!
Добавлено через 11 часов 44 минуты
Подскажите. пожалуйста!
Последний раз редактировалось Weman; 02.07.2010 в 13:03.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Загрузитесь в безопасном режиме с поддержкой командной строки
2. Наберите в командной строке regedit, откроется реестр
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
Значение этого параметра напишите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Пишет что "редактирование реестра запрещено администратором системы"
-
Junior Member
- Вес репутации
- 55
Удалось загрузиться с LiveCD, и прогнать систему через Curelt на вирусы.
Были найдены трояны:
Trojan.Packed.20343
Trojan.Packed.20375
Trojan.Packed.20385
и удалено 40 зараженных файлов в папках C:\Temp и C:\Windows\system32
Потом загрузился в безопасном режиме и опять прогнал систему на вирусы. Ничего не нашлось.
Потом вошел в систему. Появилась ошибка "Ошибка при загрузке srnh.lto. Не найден указанный модуль" - наверно это вирус. Удалось запустить AVZ и Curelt.
Вот результаты сканирования. Спасибо!
-
Пофиксите в hijack
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\WrCewZi.exe,\\?\globalroot\systemroot\system32\zT8V7Yi.exe,
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\egz.dll
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\egz.dll','');
DeleteFile('C:\WINDOWS\system32\egz.dll');
QuarantineFile('C:\Documents and Settings\All Users\opera.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\mssrv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteRepair(20);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Весь карантин отправил.
Вот новые логи.
А Combofix не запускается. Выдается ошибка -
Ошибка приложения
Инструкция по адресу "0x00425b14" обратилась к памяти по адресу "0х00466020". Память не может быть "read".
-
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Спасибо! Завтра попробую и отпишусь!
-
Junior Member
- Вес репутации
- 55
-
Пофиксите в HiJack
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\egz.dll
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(19);
RebootWindows(true);
end.
Компьютер перезагрузится.
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Спасибо! Теперь вроде все в норме!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
-