-
Junior Member
- Вес репутации
- 55
Вирус с порнобанером блокирует систему
При запуске системы появляется уже знакомый многим порнобанер и полупрозрачное серое окно в правом нижнем углу экрана. Как и у всех остальных имеется надпись "Рекламная панель устанавливается только при посещении нашего сайта", далее идет требование об отправке СМС.
Практически никакие программы не запускаются.
Мне удалось избавиться от самого банера с картинками, убрав его из автозапуска и удалив исполняемый файл, но серое окно осталось и по прежнему блокирует систему.
Из всех рекомендуемых вами программ ничего кроме HJT не установилось.
1. Штатный Касперский просрочен и обновлялся давно, поэтому я его не стал запускать.
2. Из всех инструментов запустился только HJT, лог прилагается.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-Пофиксите:
Код:
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\sdra64.exe,
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\Windows\system32\pKRQz.dll
Попробуйте этот АВЗ запустить. Базы обновлять не нужно: http://admin.home.rene-gad.operaunit...nt/kiss_me.pif
-
-
Junior Member
- Вес репутации
- 55
1. Указанные строки пофиксил, новый лог прилагаю.
2. Рекомендованный Вами AVZ в pif-файле запустился, скрипт выполнил, файл так же в приложении.
3. AVP всё так же не запускается.
-
Все логи делаем в нормальном режиме!
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('\\.\70.103.101.103\aekgoprn.dll','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\Windows\System32\Drivers\eeeeeeea.SYS','');
QuarantineFile('aekgoprn.dll','');
DeleteFile('C:\Windows\System32\Drivers\eeeeeeea.SYS');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('\\.\70.103.101.103\aekgoprn.dll');
DeleteFile('C:\Windows\System32\aekgoprn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте карантин (см. дополнительную информацию Приложения 2 и 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 55
- Всё, что можно отключил и выгрузил
- Восстановление системы отключить не удалось, поскольку в "Свойствах системы" напрочь отсутствует вкладка "Защита системы"
- Все скрипты выполнил
- Поскольку не указали, какие файлы надо добавить в карантин, я добавил туда всё, что показал AVZ через "Просмотр карантина", файл загрузил
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\RECYCLER\RAwAGB.dll','');
DeleteFile('E:\RECYCLER\RAwAGB.dll');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
Сделайте новый лог virusinfo_syscure (п.1 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
- Карантин выслал
- Скрипт выполнил
Хакерская заставка исчезла
- После перезагрузки система выдала следующее сообщение:
"Неопознанная программа хочет получить доступ к компьютеру. is-JOCPRO.exe (издатель неизвестен)"
Я разумеется отказал программе в доступе, после чего окно повторилось и после второго отказа убралось.
P.S. При входе на форуме virusinfo в раздел "Помогите!" появляется сообщение: "Во время выполнения произошла ошибка. Запустить отладку? строка 2177, ошибка: 'vB_Inline_Mod' - определение отсутствует"
На всякий случай отладку не запускал, следует ли это сделать в следующий раз?
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscure.zip обычным AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Скрипт выполнил, лог высылаю.
При каждой перезагрузке повторяются по две попытки доступа к системе от программ с теми же названиями:
is-DRJLC.exe, is-JOCPO.exe
-
Сообщение от
Yoshimitsu
is-DRJLC.exe, is-JOCPO.exe
AVP Tool устанавливали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Да, когда еще вирус не позволял ничего запускать.
Установить полчуилось, но он не запускался категорически.
-
Пофиксите в HiJack
Код:
O4 - Startup: is-DRJLC.lnk = ?
O4 - Startup: is-JOCPO.lnk = ?
И научитесь читать
Сообщение от
Yoshimitsu
Сделайте новый лог virusinfo_syscure.zip обычным AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Пофиксил.
Что касается AVZ, я как раз использовал не pif, а обычный. Специально скачал с сайта разработчика последнюю версию 4.32
Новые логи высылать?
-
Сообщение от
Yoshimitsu
Что касается AVZ, я как раз использовал не pif, а обычный
Аааа, это Вы старый лог выложили
Сообщение от
Yoshimitsu
Новые логи высылать?
А как же
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Высылаю все логи.
А что делать с сообщением при входе на форум?
-
А почему не пофиксили в HiJack указанное в сообщении №12????
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Странно... на самом деле пофиксил и они сразу перестали вылезать...
Не пойму, почему они остались в новом логе.
Сейчас сделал еще раз system scan only и этих строчек там уже нет.
А если с сохранением логфайла делать, то опять они есть...
Перезагрузился и сделал новый лог. Ничего сейчас не фиксил. Правда, в блокноте у меня открывается более поздний файл...
Последний раз редактировалось Rene-gad; 28.11.2009 в 23:24.
-
Junior Member
- Вес репутации
- 55
-
Сейчас пофикшено. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Похоже, её уже нет
Остались только предупреждения при заходе на сайты с предложением запустить отладку. Причём, в каждом случае своя строка указывается.
Надеюсь, это решается легко?
Добавлено через 40 минут
ОК, спасибо за помощь!
Главное, что решили проблему с банером. Хорошо, что есть вы, ребята, удачи вам всем!
Последний раз редактировалось Yoshimitsu; 29.11.2009 в 00:49.
Причина: Добавлено