Здравствуйте. Ситуация, аналогичная многим... Единственное, что удалось, так это сделать лог в HijackThis, после чего комп выключился.
Смс на номер 3381
Здравствуйте. Ситуация, аналогичная многим... Единственное, что удалось, так это сделать лог в HijackThis, после чего комп выключился.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте LiveCD с возможностью поиска и правки исправления в реестре. Например, ERD Commander
На диске "С", загрузившись с ЛайвСД найти winwyo32.exe и переименовать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
PavelA, это не поможет
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скачиваю ERD Commander, но cкороть маленькая... Это еще нужно? thyrex, а что поможет? Звонила даже в А1... ничего!
как скачаете ERD Commander - отпишитесь
Программа скачана, жду дальнейших указаний.
Посмотрите в реестре:
ветка
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
AppInit_DLLs
Содержимое этого параметра в своем сообщении напишите
C:\WINDOWS\system32\v.dll
Выполните из LiveCD:
1. Переименуйте указанный файл
2. Очистите значение параметра AppInit_DLLs
3. Перезагрузитесь и пробуйте загрузиться в нормальном режиме.
Баннер должен пропасть. Выполните правила в полном объеме + сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
C:\WINDOWS\system32\v.dll Нужно переименовать этот файл? На диске C:\ нет WINDOWS, только на D:\, но там не содержится файла с вышеуказанным названием.
Почему-то диски поменяны местами при запуске через ERD Commander. Но и в обычном режиме файла с названием v.dll нет.
Добавлено через 46 минут
В А1 назвали код разблокировки для смс с текстом Т701516100 на номер 3381 будет таким: 3581DO64. Баннер исчез.
Последний раз редактировалось tATIK; 24.05.2010 в 18:27. Причина: Добавлено
сделайте комплект логов по правилам
ВОт логи
Пофиксите в hiJack
Выполните скрипт в AVZКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\m0F7GRi.exe,\\?\globalroot\systemroot\system32\cRQ6hJz.exe,
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\winwyo32.exe',''); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\winwyo32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В карантине файлов нет.
Удалите ComboFix
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ExecuteRepair(20); RebootWindows(true); end.
Больше ничего необычного
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде нет сбоев. Все работает. Спасибо, не первый раз уже выручаете
Уважаемый(ая) tATIK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
