Junior Member
Вес репутации
51
Банер, текст T701016200 на номер 3381
Здравствуйте, знакомые далекие от техники попровили помочь с компьютером и проблемами с порнобанером.
Система WinXP.
Получилось подобрать код, банер исчез, до этого были следующие симптомы:
в сэйв моде появляется при запуске любой программы появляется данный банер.
При нормальной загрузке при запуске программы банер - мелькает (с пустыми полями на месте кода и телефона) но не остается, программа не запускается.
При попытке запустить переименованный в msconfig AVZ - запускается и система закрывается.
regedit не запускается, при переименовании - Изменение реестра запрещено администратором.
Сейчас очень хочется вычистить систему.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А также
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\C26MTw1.exe,\\?\globalroot\systemroot\system32\aodzZEt.exe,\\?\globalroot\systemroot\system32\6FuAU4P.exe,\\?\globalroot\systemroot\system32\c0MsnA8.exe,
Выполните скрипт в AVZ
Код:
begin
RegSearch('HKLM', '', 'espD14A.tmp');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Файл avz.log из папки AVZ прикрепите к сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
выполнено
Вложения
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\E73E49F6');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\E73E49F6');
RegKeyDel('HKLM', 'SYSTEM\ControlSet004\Control\Print\Providers\E73E49F6');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\espD14A.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
Junior Member
Вес репутации
51
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
QuarantineFile('C:\WINDOWS\system32\netprotdrvss','');
TerminateProcessByName('c:\windows\system32\netprotocol.exe');
QuarantineFile('c:\windows\system32\netprotocol.exe','');
DeleteFile('c:\windows\system32\netprotocol.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFile('C:\WINDOWS\system32\netprotdrvss');
DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
выполнено
выполнено.
Карантин отправлен, лог приложен
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('msupdate');
QuarantineFile('C:\WINDOWS\system32\thxr.wgo','');
DeleteFile('C:\WINDOWS\system32\thxr.wgo');
DeleteFile('msupdate.sys');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
выполнено.
выполнено.
Карантин отправлен, лог приложен
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Диагностика:
проблема больше появляется, компьютер не тормозит.
Планируемые действия:
Если Вы подтверждаете окончание работ - проведу обновление ОС и установку номального антивируса.
Логи в порядке
Обновляйте, но не только ОС
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
51
Отлично, огромное спасибо !
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 12 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\mssrv32.exe - Backdoor.Win32.Kbot.aky ( DrWEB: Trojan.DownLoader.26661, BitDefender: Gen:Variant.Bredo.3, NOD32: Win32/Kbot.AB trojan ) c:\windows\system32\netprotdrvss - HEUR:Backdoor.Win32.Generic c:\windows\system32\netprotocol.dll - HEUR:Backdoor.Win32.Generic c:\windows\system32\netprotocol.exe - HEUR:Backdoor.Win32.Generic