-
Junior Member
- Вес репутации
- 53
Банер
Здравствуйте! Сегодня бродя по интернету к мне попал какой то вирус что то похожее на порно баннер но открывается на всё окно без каких либо изображений тока с требованием отправить смс. Загрузить компьютер в безопасном режиме мне не удалось появился синий экран критической ошибки (по моему ошибка драйвера). Я решил что бы восстановить работу драйвера запустить восстановление windows с диска после чего мне удалось загрузится в безопасном режиме. Проверка на вирусы утилитой Dr. web не чего не дала. Запустить IE не удаётся мне пишут что “ порядковый номер 650 не найден в библиотеке iertutil.dll зайти в интернет удалось тока через Оперу. Да перед самым появлением этого “баннера” вроде вылезает окно сообщением мол конфигурация системы была изменена (но точно рассмотреть я не успеваю). Да ещё хотелось бы сказать что все логии мне пришлось делать в безопасном режиме и после небольшого времени после загрузки у меня пропадает доступ в интернет.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\0.3194324259232162.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\0.3194324259232162.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скачайте AVZ 4.35, обновите его базы.
Загрузитесь в нормальном режиме
Сделайте новые логи
Последний раз редактировалось thyrex; 28.01.2011 в 21:15.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Вы знаете я удалил файл который находился в папке Temp и имел расширения exe на него показала утилита AVZ определив его как возможный вирус. После чего мне удалось загрузится в нормальном режиме, окно не открывается но стала вылезать окно сообщения мол конфигурация системы нарушена и хотите ли вы переустановить систему. Окно явно не windows а больше похоже на окно Оперы. С вязи с чем вопрос нужно выполнять скрипт и отсылать карантин или сделать новые логии? Да этот файл 0.3194323259232162.exe я сохранил в архиве если вдруг он вам будет нужен.
-
Запакуйте фвйл с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Сообщение от
thyrex
Скачайте AVZ 4.35, обновите его базы.
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Архив загрузил:
Файл сохранён как 110128_224242_0.3194324259232162_4d431c325632f.zip
Размер файла 203708
MD5 8c6e8ed6ccf97e9710c53162f83ee079
Да хочу добавить что и после удаления файла IE всё равно не запускается.А и программу MBAM я не закрывал так как было написано чтоб не чего самому не удалять а я не знаю что с ней дальше делать.
-
Удалите в МВАМ
Код:
Заражённые файлы:
c:\documents and settings\Admin\application data\Sun\Java\deployment\cache\6.0\7\14916c87-50293220 (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\Admin\мои документы\0.3194324259232162.exe (Trojan.Agent.Gen) -> No action taken.
c:\RECYCLER\s-1-5-21-1614895754-1960408961-1417001333-500\Dc3.exe (Trojan.Agent.Gen) -> No action taken.
c:\system volume information\_restore{1cc0a903-8bd3-4cf6-af84-03e880dd8cb8}\RP0\A0000008.exe (Trojan.Agent.Gen) -> No action taken.
d:\setup\avz4\avz4\quarantine\2011-01-28\avz00001.dta (Trojan.Agent.Gen) -> No action taken.
d:\system volume information\_restore{9a0883fc-989a-4a95-9c7f-08a9c6d9ecc4}\RP4\A0002287.exe (Trojan.Downloader) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
А такой вопрос там есть три записи в реестре их тоже удалить?
Добавлено через 39 минут
Всё я удалил эти файлы но окошко об ошибке в конфигурации ОС и с предложением её переустановить так и не исчезло да и браузер IE тоже не запускается. Может это быть следствием того что я восстанавливал windows при помощи диска то есть по сути я его переустановил но из за этого вируса он так и не встал до конца и мне нужно снова запустить восстановление моей версии windows?
Последний раз редактировалось Ksafan; 29.01.2011 в 00:14.
Причина: Добавлено
-
Пуск - выполнить - cmd
Система проверит целостность файлов, понадобится диск с дистрибутивом
-
-
Junior Member
- Вес репутации
- 53
Всё сделал всё вроде работает как надо. Спасибо Вам большое Вы мне очень сильно помогли!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \\0.3194324259232162.exe - Trojan-Ransom.Win32.PornoCodec.bo ( DrWEB: Trojan.Inject.21359, BitDefender: Gen:Variant.Barys.1808, NOD32: Win32/LockScreen.ACR trojan, AVAST4: Win32:VB-YLY [Trj] )
-