-
Junior Member
- Вес репутации
- 51
пополнить баланс на 2000. Локер [Trojan-PSW.Win32.VKont.kq, not-a-virus:RemoteAdmin.Win32.RAdmin.ic
]
1)Лазил на сайте, выскочила реклама и паралельно открылась вкладка с непонятным сайтом. Локер сработал моментально и написано, что нужно пополнить счет на 2000.
К сожалению фото нету, но если потребуется, могу сделать.
В безопасном режиме cureit ничего не нашел, зато удалось зайти через другой пользователь. Также делал восстановление системы, локер исчез, но минут через 10 вновь появился.
2)в опере слева сверху выскакивает реклама(порно). Всегда приходится нажимать кнопку "закрыть" в рекламе.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) myaso, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 51
Ну что, есть решения какие нибудь?
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('gsplittm');
QuarantineFile('F:\ADVANC~1\wh_hook.dll','');
QuarantineFile('F:\Program Files\ZennoLab\ZennoPoster Demo\uninstall\Installer.exe.bak','');
QuarantineFile('F:\Documents and Settings\дима\Рабочий стол\БРУТЫ\брут дедиков\EbriBrute\ebri.zip','');
QuarantineFile('F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\слежка\будет\msupdate.exe','');
QuarantineFile('F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\слежка\будет\inst.exe','');
QuarantineFile('F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\Подозрительный софт\wm.rar','');
QuarantineFile('F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\Подозрительный софт\check.rar','');
QuarantineFile('F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\vkontakte_accounts_manager_fixed.rar','');
QuarantineFile('F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\приват\Spamer_Vkontakte_zero_tolerance.rar','');
QuarantineFile('F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\vkontakte_pass_by_emai_retriever.rar','');
QuarantineFile('F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\Solitario Crypter.rar','');
QuarantineFile('F:\Documents and Settings\дима\Рабочий стол\Bce DuMoHa\RxBot_Encrypt_Decrypt.zip','');
QuarantineFile('F:\WINDOWS\system32\Drivers\ST77bus.sys','');
QuarantineFile('F:\WINDOWS\System32\Drivers\aswSP.SYS','');
QuarantineFile('F:\ADVANC~1\wh_exec.exe','');
QuarantineFile('F:\DOCUME~1\F185~1\LOCALS~1\Temp\gsplittm.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
логи делались из под проблемной учётки или здоровой ?
-
-
Junior Member
- Вес репутации
- 51
Сделал, локер не исчез. Карантин отправлен.
Все действия выполняю с соседней(здоровой) учетки.
Скрин локера прикрепил.
-
Сообщение от
myaso
Все действия выполняю с соседней(здоровой) учетки.
из под здоровой учётки логи AVZ бесполезны.
Сделайте полный образ автозапуска uVS
на шаге №4 выберите проблемную учётку.
-
-
Junior Member
- Вес репутации
- 51
Последний раз редактировалось myaso; 31.01.2013 в 20:21.
-
Выполните скрипт в uVS и пришлите карантин
Код:
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
breg
; F:\DOCUMENTS AND SETTINGS\ДИМА\6165564.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДИМА\6165564.EXE
addsgn A7679B19B192CF9E3787F8E60C08B645254DB8D295379B877A0481984C1AF5B3DC7F33F37E55625CA75FC49FCB526DE6F49BCC7ED88FB4C40E925BD064BA8633 8 Trojan.Winlock.6412
zoo 㩃停潲牧浡䘠汩獥卜景䥴䕃䍜浯潭屮楂屮卄卒捶攮數
delref HTTP://HOME.WEBALTA.RU
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.SMAXL.NET
chklst
delvir
restart
после перезагрузки пришлите карантин и сделайте новый лог uVS
- - - Добавлено - - -
+ F:\PROGRAM FILES\SWEETIM\MESSENGER\SWEETIM.EXE вы устанавливали такую программу ?
- - - Добавлено - - -
на шаге №2 при выполнение скрипта опять выберите учётку проблемного пользователя.
-
-
Junior Member
- Вес репутации
- 51
К сожалению, 6165564.EXE удалил вручную т.к. нужна была срочно учетка, а времени чистить не было.
SWEETIM.EXE вроде не устанавливал. Ну как я понял это какой то чат. Мне он не нужен.
Лог uVS - http://www.sendspace.com/file/oj24n0
остальные прикрепил.
-
Выполните скрипт в uVS и пришлите карантин
Код:
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
breg
zoo %SystemDrive%\DOCUME~1\F185~1\LOCALS~1\TEMP\GSPLITTM.SYS
delall %SystemDrive%\DOCUME~1\F185~1\LOCALS~1\TEMP\GSPLITTM.SYS
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДИМА\6165564.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ДИМА\6165564.EXE
zoo I:\RUNAUT~1\AUTORUN.PIF
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДИМА\РАБОЧИЙ СТОЛ\VK CHECKER LITE_\YANDEX.MONEYT\BRUTE\BRUT.EXE
delref COPY
zoo 㩃停潲牧浡䘠汩獥卜景䥴䕃䍜浯潭屮楂屮卄卒捶攮數
CLRMD
regt 13
exec MSIEXEC.EXE /X{266C7330-C0F4-49E5-8F20-A56F9F822875}
exec MSIEXEC.EXE /X{A1E4213E-06AD-4C58-8315-92F11531D960}
chklst
delvir
restart
после перезагрузки пришлите карантин и сделайте новый набор логов по правилам.
- - - Добавлено - - -
+ в карантин, что за архив вы загрузили ? там вперемешку с HackTool идут и самые настоящие трояны, в том числе и ворующие пароли
-
-
Junior Member
- Вес репутации
- 51
После выполнения скрипта все перепуталось. Буквы дисков перепутались. Винда нормально не работаетб восстановление системы не работает(rstrui.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.). Язык не переключается.
-
myaso, где новые логи ? где карантин ?
Из-за скрипта такого быть не должно, что вы ещё делали ?
-
-
Junior Member
- Вес репутации
- 51
Во время выполнения скрипта выскочило окно типо удалить этот элемент? Что то от виндовс. Я нажал нет. С этого момента все началось.
regist логи сделать не могу пока что. винда нормально не работает. При нажатии на любой файл правой кнопкой - перезагрузка компьютера. Больше ничего не делал это 100%. Совмещение дисков произошло после скрипта. Ф и С объединились в один. Нужно как то сделать восстановление системы. Как?
Карантина кстати нет. Есть папка ЗОО
Последний раз редактировалось myaso; 10.02.2013 в 11:54.
-
Сообщение от
myaso
Во время выполнения скрипта выскочило окно типо удалить этот элемент? Что то от виндовс
скорее всего выскочило и спросило хотите ли вы деинсталировать SweetIM, раз вы его не ставили и он вам не нужен надо было согласиться.
В безопасном режиме тоже не получается сделать логи ?
логи RSIT можете сделать ?
- - - Добавлено - - -
Сообщение от
myaso
Карантина кстати нет. Есть папка ЗОО
а внутри неё что-то есть ? если есть
то заархивруйте папку ZOO в zip архив с паролем
virus и загрузите по ссылке
Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)
-
-
Junior Member
- Вес репутации
- 51
сделал логи.
антивирус вообще не работает из за того что произошло совмещение диском. И в файлах прописаны пути Ф... а буквы поменялись. Не знаю даже что и делать.
папку ЗОО к сожалению зархивировать не получится пока что винрар не работает.
(Выбирите программу для этого файла. Я выбираю а он вообще даже не добавляет в список файл архиватора)
уВС - http://www.sendspace.com/file/0handy
Даже плагин флеш скачиваю а его не открывает. Автоматически удаляется после попытки запуска.
-
Выполните скрипт в uVS
Код:
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
regt 12
restart
компьютер перезагрузится.
Ещё раз повторите логи и отпишитесь, что с проблемой.
-
-
Junior Member
- Вес репутации
- 51
Проблема осталась. Какие именно логи сделать? все(авз+уВС+хиджектис)?
Главный диск у меня был - Ф(английская). На диске С(английская) стояла старая ненужная винда. Может это поможет чем то.
-
Давайте пока сделайте только логи RSIT.
а потом посмотрим.
-
-
Junior Member
- Вес репутации
- 51
сделал. А никак не возможно сделать восстановление системы? Кклеанер видит название точки восстановления системы. но в нём нету возможности делать восстановление.
-
myaso, попробуйте сами сменить букву диска и вернуть как было. Подробней о том как это сделать написано здесь http://support.microsoft.com/kb/307844
-