-
Junior Member
- Вес репутации
- 52
Порно баннер заблокировал экран
Порно баннер заблокировал экран, просит отправить смс на 3381, прочитал аналогичные темы, поправил строку в реестре HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows с AppInit_DLLs
После этого смог запустить AVZ и HiJack. Вот логи
Очень жду помощи
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Обновите базы AVZ!!!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lmotgrn.exe','');
QuarantineFile('c:\program files\webmoney agent\wmagent.exe','');
DeleteFile('C:\WINDOWS\system32\lmotgrn.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteRepair(20);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + лог Combofix
-
-
Junior Member
- Вес репутации
- 52
Вот новые скрипты и карантин, все делал по инструкции!
-
c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\c_861.nls:ZJZQtAI','');
DeleteFile('c:\windows\system32\c_861.nls:ZJZQtAI');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
В этих файлах удалите лишние пробелы перед расширением
Код:
<pre>
c:\program files\E-Trade Content Creator\Modules\PhotoResize\PhotoResize64bit .exe
c:\program files\E-Trade PriceList Importer\Modules\PhotoResize\PhotoResize64bit .exe
</pre>
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\fkc.dll
c:\windows\system32\pgeqkh.dll
c:\windows\system32\pdafiuga.dll
c:\windows\system32\doo.dll
c:\windows\system32\hsmljdhdp.dll
c:\windows\system32\hdkdz.dll
c:\windows\system32\sulcjo.dll
c:\windows\system32\gfv.dll
c:\windows\system32\ow.dll
c:\windows\system32\u.dll
c:\windows\system32\da.dll
c:\windows\system32\pm.dll
c:\windows\system32\buimln.dll
c:\windows\system32\config\systemprofile\Application Data\dzipsb.dat
c:\windows\system32\config\systemprofile\Application Data\khiteb.dat
Driver::
Folder::
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Shell]
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-