-
порно-банер +1
Та же ситуация что и остальных.
Принесли жертву сегодня, банер в обоих режимах при запуске какого-нибудь приложения, AVZ не давал переписать даже с флешки, удалял его и перезагружал комп. Поставил запуск минимальных служб. Всем правдами и неправдами запустил hijackthis, пофиксил
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
O1 - Hosts: 91.206.201.30 vkontakte.ru
O1 - Hosts: 91.206.201.30 [url]www.vkontakte.ru[/url]
O1 - Hosts: 91.206.201.30 [url]www.odnoklassniki.ru[/url]
O1 - Hosts: 91.206.201.30 odnoklassniki.ru
O1 - Hosts: 91.206.201.30 vk.com
O1 - Hosts: 91.206.201.30 [url]www.vk.com[/url]
O1 - Hosts: 91.206.201.30 my.mail.ru
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O20 - AppInit_DLLs: C:\WINDOWS\system32\FemwS.dll
после этого дал запустить AVZ
фалы hijackthis и AVZ прикладываю
-
пришлите карантин собраный авз согласно приложения 3 правил
-
+ к [B]V_Bond[/B]
Пофиксить в HijackThis
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
O1 - Hosts: 91.206.201.30 vkontakte.ru
O1 - Hosts: 91.206.201.30 www.vkontakte.ru
O1 - Hosts: 91.206.201.30 www.odnoklassniki.ru
O1 - Hosts: 91.206.201.30 odnoklassniki.ru
O1 - Hosts: 91.206.201.30 vk.com
O1 - Hosts: 91.206.201.30 www.vk.com
O1 - Hosts: 91.206.201.30 my.mail.ru
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\FemwS.dll
[/code]
ПК перезагрузите.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\FemwS.dll','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\ssbezier.scr','');
QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');
DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\FemwS.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
-
Пофиксил что Вы сказали
запустил "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info".
выполнил скрипт в AVZ
высылаю карантин и логи
-
.\RECYCLER\Yeo.dll - на диске "D" вот такое поищите.
-
Такого файла не обнаружено.
После удаления и фикса AppInit_DLLs: C:\WINDOWS\system32\FemwS.dll все заработало и пропал баннер.
Спасибо за помощь.
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\internet explorer\svcnost.exe - [B]Trojan.Win32.Agent2.cmgp[/B] ( BitDefender: Gen:Trojan.Heur.bOelrzsuhfiID, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\femws.dll - [B]Trojan-Ransom.Win32.SMSer.td[/B] ( DrWEB: Trojan.BrowseBan.128, NOD32: Win32/AutoRun.Delf.EL worm )[*] d:\autorun.inf - [B]Trojan.Win32.AutoRun.nz[/B] ( BitDefender: Trojan.AutorunINF.Gen )[/LIST][/LIST]
Page generated in 0.00058 seconds with 10 queries