-
Junior Member
- Вес репутации
- 51
банер pornhub
при загрузки компа над рабочем столе возникает красный баннер с тремя порно-картинками (Trojan.Winlock.1897 по версии CureIt!).
ввод кода разблокировки системы (взятый с сайта доктора веба) для данного вируса ситуацию не изменил (код не подошел).
заблокированы кнопки мыши, некоторые горячие клавиши.
Загрузился с флешки, просканировал системный диск CureIt! - найдены и удалены следующие вирусы:
- Trojan.Winlock.1897 (в Temporary Internet Files, имя файла не запомнил)
- Trojan.Winlock.1897 (C:\Windows\temp\bldjad.exe)
- Trojan.Packed.20343 (C:\Windows\temp\e.exe)
- Trojan.Hosts.373 (C:\Windows\temp\iKkq.exe)
- Trojan.Winlock.1897 (C:\Windows\temp\OnyR.exe)
После этих действий получилось нормально загрузиться в инфицированной системе (после появления рабочего стола открывается окно проводника с таким путем: "C:\Program Files\Adobe\Acrobat.com". В открывшейся папке "Adobe.com" несколько файлов и папок в том числе файл "Acrobat.com.exe" - ИМХО что-то неладное) и запустить AVZ, HijackThis. отчеты прилагаются.
Осталось ли что-нить зловредное? заранее благодарю.
PS: кнопки мыши и горячие клавиши разблокировались после лечения.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключить восстановление системы, защитное ПО.
Профиксить:
Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\TEMP\bldjad.exe
O1 - Hosts: 85.12.46.140 odnoklassniki.ru
O1 - Hosts: 85.12.46.140 www.odnoklassniki.ru
O1 - Hosts: 85.12.46.140 vkontakte.ru
O1 - Hosts: 85.12.46.140 www.vkontakte.ru
O1 - Hosts: 85.12.46.140 vk.com
O1 - Hosts: 85.12.46.140 www.vk.com
O20 - AppInit_DLLs: ,
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe','');
QuarantineFile('C:\Program Files\DVD Region-Free\DVDShell.dll','');
QuarantineFile('C:\Program Files\BSplayerPro\bsplayer.exe','');
DeleteFile('C:\Program Files\BSplayerPro\bsplayer.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить.
-
-
Junior Member
- Вес репутации
- 51
Восстановление ситемы отключено.
Антивирус nod32 отключен и выгружен его графический интерфейс, однако его ядро по-прежнему в процессах (при завершении процесса nod32krn.exe он (процесс) опять появляется). удалить Nod32 вообще или и так пойдет?
Указанное пофиксил, скрипт выполнил, перезагрузил и выслал новые логи с карантином.
-
Junior Member
- Вес репутации
- 51
ну как, я могу вздохнуть спокойно или какая-нить заразинка еще осталась?
-
Плохого не видно, что-нибудь еще беспокоит?
-
-
Junior Member
- Вес репутации
- 51
думаю, что все ок. спасибо огромное за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
-