Добрый день!
Не получается полностью избавиться от заразы - после лечения последствий порнобаннера выскакивают автоматически окна при загрузке и еще пишет, что не может найти srnh.lto.
Посмотрите, пожалуйста, логи.
Добрый день!
Не получается полностью избавиться от заразы - после лечения последствий порнобаннера выскакивают автоматически окна при загрузке и еще пишет, что не может найти srnh.lto.
Посмотрите, пожалуйста, логи.
Пофиксите в HiJack
Выполните скрипт в AVZКод:F2 - REG:system.ini: Shell=Explorer.exe, rundll32.exe srnh.lto iqfnr F2 - REG:system.ini: UserInit=H:\WINDOWS\system32\userinit.exe,H:\WINDOWS\system32\expsrv.exe,\\?\globalroot\systemroot\system32\OHKCizG.exe,\\?\globalroot\systemroot\system32\X9euP06.exe,H:\WINDOWS\system32\spdr64.exe,userinit.exe,H:\WINDOWS\system32\sdra64.exe,
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-00401C608512}'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ine32.exe',''); QuarantineFile('H:\WINDOWS\system32\spdr64.exe',''); QuarantineFile('H:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('H:\WINDOWS\system32\expsrv.exe',''); QuarantineFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe',''); DeleteService('Physical Memory Protector'); QuarantineFile('H:\WINDOWS\system32\spdr64.dll',''); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe'); DeleteFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','shell'); DeleteFile('H:\WINDOWS\system32\expsrv.exe'); DeleteFile('H:\WINDOWS\system32\sdra64.exe'); DeleteFile('H:\WINDOWS\system32\spdr64.exe'); DeleteFile('H:\WINDOWS\system32\spdr64.dll'); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ine32.exe'); DeleteFileMask('C:\Program Files\Common Files\SysAware Soft', '*.*', true); DeleteDirectory('C:\Program Files\Common Files\SysAware Soft'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(8); ExecuteRepair(16); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо. Карантин отправила. Вот логи:
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ExecuteREpair(9); ExecuteREpair(19); RebootWindows(true); end.
Сделайте новый лог virusinfo_syscheck.zip
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделала.
Плохого не видно
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо, компьютер ведет себя как здоровый
Про патчи - за гранью моих компьютерных возможностей, постараюсь разобраться что по той ссылке есть патчи....
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- h:\windows\system32\sdra64.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.PWS.Panda.122, AVAST4: Win32:Malware-gen )
- h:\windows\system32\spdr64.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.Inject.8953, AVAST4: Win32:Malware-gen )
Уважаемый(ая) zhenya01, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.