-
Junior Member
- Вес репутации
- 56
winloker не удаляется
Сегодня у моего знакомого вылез баннер, блокирующий работу explorer. просит отправить смс за гей-онлайн. В безопасном режиме отредактировал параметр shell, указав верный путь к explorer, вместо вирусного exe-файла. Система стала работать. Свежий cureit скачанный сегодня ничего не нашел. Установил нод. Базы не обновляются, ни с локального диска ни с интернета, пишет ошибку 0x101a. после перезапуска система не грузится в обычном режиме, только нижняя полоска с кнопкой пуск. Диспетчер задач не запускается, пишет ошибку запуска. Так в гостях сижу уже давно и пора ехать могу приложить только логи обновленной avz. также прилагаю скрин, в котором на нормальном сайте выскакивает неубирающееся окошком с требованием обновить браузер, что эксплорер, что оперу до еще несуществующей версии.
Последний раз редактировалось olejah; 31.03.2011 в 17:58.
Причина: virusinfo_cure.zip - карантин в теме
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 56
Забыл добавить, что система снова стала запускаться в обычном режиме после удаления нод в безопасном режиме.
-
Отключите Восстановление системы.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\SSVICHOSST.exe','');
QuarantineFile('C:\Windows\system32\iytouak.dll','');
DeleteFile('C:\Windows\system32\iytouak.dll');
DeleteFile('c:\windows\Tasks\At1.job');
DeleteFile('C:\Windows\system32\SSVICHOSST.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Запустите/включите антивирус/файрволл.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
-
-
Junior Member
- Вес репутации
- 56
Файл сохранён как 110331_045631_2011-03-31_4d94097f7df68.zip
Размер файла 29736
MD5 f0a21bc73d222223040435f3944e4577
-
Junior Member
- Вес репутации
- 56
nod32 по прежнему не хочет обновлять базы с той же ошибкой, и так же с установленным nod32 не запускается в обычном режиме, пока не удалишь. Может быть конфликтует с другим установленным антивирусом Zillya? Еще все время при запуске интернет эксплорер запускается сайт http://www.apeha.ru/, хотя домашняя страница указана "пустая" в настройках
Последний раз редактировалось olejah; 31.03.2011 в 17:58.
Причина: virusinfo_cure.zip - карантин в теме
-
virusinfo_syscure.zip - Старый прикрепили
-
-
Junior Member
- Вес репутации
- 56
удалил zillya, нод32 стал работать нормально
-
Junior Member
- Вес репутации
- 56
Сообщение от
polword
virusinfo_syscure.zip - Старый прикрепили
удалил все, заново проверил. Выдал только один этот архив.
-
virusinfo_cure.zip уберите из всех ваших сообщений.
Пофиксите в HijackThis:
Код:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru
Больше подозрительного не обнаружено.
-
-
Junior Member
- Вес репутации
- 56
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\iytouak.dll - Trojan.Win32.Zapchast.few ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.5813226, AVAST4: Win32:MalOb-HG [Cryp] )
-