pornohub

Printable View

28.05.2010, 21:12
Лусли

pornohub

появилась табличка с вымогательством по смс pornohub.com
код активации не подобрался.
ни в безопасном, ни в опасном режиме:
1 - не запускаются антивирусные программы даже в переименованном виде (drweb cureit, avz) - сразу комп идет в ребут.
2 - не исчезает окно вируса (но оно не на весь экран, поэтому управлять окнами худо-бедно можно)
насколько я поняла, вирус распаковывает офисные приложения и табличка с вымогательством - надстройка word. удаление офиса и загруженных фалов эффекта не дало: при перезагрузке вирус.файлы снова самораспаковываются.

хайджек работает, но я не вижу ничего ужасного там. посмотрите, пожалуйста.
может быть, также подскажете способ запустить avz?
28.05.2010, 21:31
thyrex

1. Скачайте образ [B]ERD Commander[/B], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]
[B]параметр[/B]
[code]AppInit_DLLs[/code]

Содержимое этого параметра напишите в своем сообщении
29.05.2010, 19:27
Лусли

C:\WINDOWS\system32\wqmbe.dll
29.05.2010, 21:22
thyrex

Выполните с ERD Commander:
1. Переименуйте указанный Вами файл
2. Очистите значение параметра AppInit_DLLs
3. Перезагрузитесь, загрузитесь в нормальном режиме и выполняйте правила
29.05.2010, 23:00
Лусли

.
29.05.2010, 23:23
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\fioxahr.exe','');
QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
DeleteFile('C:\WINDOWS\system32\srnh.lto');
DeleteFile('C:\WINDOWS\system32\fioxahr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
30.05.2010, 13:56
Лусли

.
30.05.2010, 14:00
polword

В логах чисто.Что-то еще беспокоит?

- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- поставте [URL="http://www.adobe.com/go/EN_UK-H-GET-READER"]Adobe Reader 9.3[/URL] или удалите старый.
30.05.2010, 14:27
Лусли

беспокоит вот что:
1. установка и удаление программ грузится почему-то оч долго (минуты 3-5). но это может быть связано и не с вирусами
2. собственно, в этом окне имеется программа под названием "webfldrs xp" без указания сведений о программе и возможности ее там удаления..
02.06.2010, 22:39
Лусли

а?
03.06.2010, 16:43
polword

Скачайте RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
05.06.2010, 14:32
Лусли

.
05.06.2010, 14:44
thyrex

Выполните скрипт в AVZ
[code]begin
ExecuteRepair(19);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Больше ничего необычного
05.06.2010, 17:33
Лусли

проблема не исчезла, но видимо дело не в вирусе. попробую разобраться.
спасибо за помощь
06.06.2010, 17:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]