-
Junior Member
- Вес репутации
- 53
Надоедливый порно-баннер с требованием отослать смс 2
Добрый вечер. Я также сегодня обнаружил у себя эту вещь. Источник заражения также не известен. Ничего не запускается. Из антивирусов стоял Нод32. На данный момент он не активен, при попытке его запустить выскакивает баннер.
Вся сложность в том, что у меня изначально нет программы HijackThis и она сейчас не ставится, как и прочие программы. Архивы не открываются. Только через безопасный режим в течении одной минуты, потом баннер снова активизируется. CureIt не запускается. RegEdit тоже не запускается.
Проверил программой tdsskiller. Ничего не находит(
Помогите пожалуйста. Я так понял из предыдущей темы, что от нее избавились, но что можно сделать более подручными способами?
Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Tempo10
что у меня изначально нет программы HijackThis и она сейчас не ставится
Hijack не ставится , она запускается и делает быстрый скан. Пробуйте, должно получиться. Если не запустится переименуйте в файл с любым названием и расширением .pif или .com (например toto.pif)
-
-
Junior Member
- Вес репутации
- 53
Это лог файл Hijack. Переименование помогло.
-
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\ipYiY.dll
После перезагрузки сможете сделать весь комплект логов
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Вот, все получилось. И Появился также файл "virusinfo_cure.zip"
-
Выполните скрипт
Код:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysupd32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\yaprdr.sys','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysupd32.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
BC_Activate;
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.
Пофиксите Hijackthis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - Startup: sysupd32.exe
Закачайте полученный карантин по ссылке вверху. Повторите логи. Файл Hosts сами правили?
-
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ipYiY.dll','');
DeleteFile('C:\WINDOWS\system32\ipYiY.dll');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysupd32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\yaprdr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysupd32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Вот. Все помогло. Все работает, загружается, баннера нет).
to vegas да, хостс както правил, удалял оттуда записи про вконтакте, оставленные злым трояном.
Сейчас убрал нод32, за месяц он проворонил 3 трояна( Поставил КИС. Попробую как он...
Вам спасибо большое за помощь!
-
Выполните скрипт
Код:
begin
ExecuteRepair(13);
end.
Обновите IE до 8 версии
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\ipyiy.dll - Trojan.Win32.Agent.dcou ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\overlapp32.dll - Trojan.Win32.Delf.rvx ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2775233, AVAST4: Win32:Malware-gen )
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( AVAST4: Win32:Patched-KP [Trj] )
-