-
Еще один порнобанер
Появился со вчерашнего дня , проблемы те же что и большинство здесь описанных: не запускалась ни одна программа в т.ч. и NOD32, реестр ч/з regedit не загружался, Wind в безопасном режиме загружался также с появлением банера , при загрузке в обычном режиме банер появлялся при попытке запустить файлы с расширением .exe, .com, .bat,
Сохранил на жестком диске AVZ, HijackThis, попытался их запустить - при таких попытках винд начал сваливаться в перезагрузку. ничего не помогало.
Удалось все таки запустить HijackThis скачанный отсюда: [URL]http://virusinfo.info/soft/1.zip[/URL] .
Перед запуском HijackThis переименовал game.exe в game.pif ( Wind работал в обычном режиме) Запустился!!! Пофиксил с помощью HiJackThis, далее перезагрузился- банер исчез.
Запустил AVZ уже с .exe - все заработало!!!
логи здесь:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Cистемное восстановление
В AVZ выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\mssrvc.sys','');
QuarantineFile('c:\windows\system32\mssrvc.tmp','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(8);
ExecuteWizard('TSW',2,2,true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
ClearHostsFile;
RebootWindows(true);
end.
[/code]
После перезагрузки
[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Что такое Bonjour Service и как его удалить. [url]http://virusinfo.info/showthread.php?t=27923[/url]
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи по правилам
Page generated in 0.00284 seconds with 10 queries