Порнобаннер 3381

Printable View

25.05.2010, 11:45
bremlin

Порнобаннер 3381

Здравствуйте. Беда с порнобаннером. В обычном режиме почти все exe-шники не запускаются, вместо этого открывается заново баннер, если его убить. При попытке запустить антивирусные утилиты - комп уходит в ребут. Запустился только переименованный Hijack в безопасном режиме, сделал лог и комп ушёл в ребут.
Удалял srnh.lto vfczten.exe и несколько dll в system32 и темпе пользователей, не помогло. При запуске любого приложения вылезает баннер и восстанавливаются dll. Из реестра удалял запись srnh.lto. Также никаких результатов.
Все действия производил подсоединив винчестер к другому компьютеру, на том работать в принципе невозможно.
25.05.2010, 11:51
polword

скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
Как скачаете отпишитесь

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

надо будет посмотреть в реестре:
ветку
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

содержание параметра
AppInit_DLLs
25.05.2010, 11:53
bremlin

Значение пусто.
25.05.2010, 12:12
PavelA

Загружали удаленный куст перед поисками?
25.05.2010, 12:27
bremlin

Извините. Просмотрел через Gmer.
Значение параметра
C:\WINDOWS\system32\cah.dll
25.05.2010, 12:32
PavelA

Ключик поправить. Эту dll переименовать.
25.05.2010, 12:35
bremlin

Ключ поправить на что?
25.05.2010, 12:41
polword

очистить

[size="1"][color="#666686"][B][I]Добавлено через 39 секунд[/I][/B][/color][/size]

после, попробуйте загрузиться в обычном режиме и сделать комплект логов по правилам
25.05.2010, 14:55
bremlin

Большое спасибо. dll-ку переименовал, реестр почистил, работает всё так как положено.
Логи:
25.05.2010, 15:36
PavelA

Dll-ky пришлите через карантин AVZ. Для зачистки от "хвостов" надо сделать лог ComboFix.
25.05.2010, 18:53
bremlin

лог Комбофикса(надеюсь всё правильно):
25.05.2010, 19:09
thyrex

[B]virusinfo_cure.zip[/B] из вложений удалите и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Пофиксите в HiJack
[CODE]O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)[/CODE]Больше плохого не видно

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
26.05.2010, 19:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \cah_.dll - [B]Packed.Win32.Krap.gx[/B] ( DrWEB: Trojan.Winlock.1678, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]