-
Junior Member
- Вес репутации
- 54
Надоедливый порно-баннер с требованием отослать смс....
Добрый день.
Заразился ПК. источник заражения - неизвестен.
после загрузки ОС, с интервалом в 3-5 мин. выскакивает баннер.
Код:
для отключения рекламы Вам необходимо указать код разблокировки m20920007
Ни диспетчер задач, ни реестр системы загрузить не удается...
При попытке запустить какое то приложение - сражу же вылазить этот баннер. По этой причине запустить AVZ - не получается. Получилось только: hijackthis (лог прикрепляю)
Подключал HDD к другому ПК. про-сканировал и по удалял все возможные вируса (около 30 шт.) Также прикрепляю логи virusinfo_syscure.zip, virusinfo_syscheck.zip которые сделаны на другой машине с подключенным "больным" HDD.
Каким способом можно запустить AVZ на зараженной системе?
из доступных инструментов, покамись нашел msconfig, gpedit.msc
Заранее Благодарен.!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack следующие строки:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\bcnJS.dll
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\bcnJS.dll','');
QuarantineFile('C:\WINDOWS\system32\MGE\BIL.EXE','');
QuarantineFile('C:\WINDOWS\system32\MGE\CILRS232.EXE','');
QuarantineFile('C:\WINDOWS\system32\MGE\CILUSB.EXE','');
QuarantineFile('C:\WINDOWS\system32\MGE\PCtl.exe','');
QuarantineFile('C:\WINDOWS\system32\MGE\RunSC.exe','');
DeleteService('MGE Service module');
QuarantineFile('C:\WINDOWS\Pointdev\IACmdSRV.exe','');
DeleteService('IACmdSRV');
QuarantineFile('C:\WINDOWS\system32\Drivers\FBIKB_NT.Sys','');
DeleteService('FBIKB_NT');
QuarantineFile('G:\autorun.inf','');
TerminateProcessByName('c:\windows\system32\mge\runsc.exe');
QuarantineFile('c:\windows\system32\mge\runsc.exe','');
TerminateProcessByName('c:\windows\system32\mge\pctl.exe');
QuarantineFile('c:\windows\system32\mge\pctl.exe','');
TerminateProcessByName('c:\windows\system32\mge\cilusb.exe');
QuarantineFile('c:\windows\system32\mge\cilusb.exe','');
TerminateProcessByName('c:\windows\system32\mge\cilrs232.exe');
QuarantineFile('c:\windows\system32\mge\cilrs232.exe','');
QuarantineFile('c:\windows\system32\mge\bil.exe','');
TerminateProcessByName('c:\windows\system32\mge\bil.exe');
DeleteFile('c:\windows\system32\mge\bil.exe');
DeleteFile('c:\windows\system32\mge\cilrs232.exe');
DeleteFile('c:\windows\system32\mge\cilusb.exe');
DeleteFile('c:\windows\system32\mge\pctl.exe');
DeleteFile('c:\windows\system32\mge\runsc.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\Drivers\FBIKB_NT.Sys');
DeleteFile('C:\WINDOWS\Pointdev\IACmdSRV.exe');
DeleteFile('C:\WINDOWS\system32\MGE\RunSC.exe');
DeleteFile('C:\WINDOWS\system32\MGE\PCtl.exe');
DeleteFile('C:\WINDOWS\system32\MGE\CILUSB.EXE');
DeleteFile('C:\WINDOWS\system32\MGE\CILRS232.EXE');
DeleteFile('C:\WINDOWS\system32\MGE\BIL.EXE');
DeleteFile('C:\WINDOWS\system32\bcnJS.dll');
DeleteFilemask('C:\WINDOWS\system32\MGE','*.*',true);
Deletedirectory('C:\WINDOWS\system32\MGE');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
Executerepair(17);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению
-
-
Junior Member
- Вес репутации
- 54
Спасибо. Баннера не видно. Логи повторные
Жду Вашего ответа.. Работа стоит 
Последний раз редактировалось Rene-gad; 26.11.2009 в 20:53.
Причина: Удалён карантин.
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1062836496-9965917343-443063100-3146\hdav.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1062836496-9965917343-443063100-3146\hdav.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 54
Готово...!!!
Что какой будет диагноз?!
-
Это Ваше D:\DB\Rem_KIR.bat ?
-
-
Junior Member
- Вес репутации
- 54
D:\DB\Rem_KIR.bat
Код:
C:\sybase\Any9\win32\dbremote.exe -c "eng=T_KIR;dbn=KIR;uid=TIB_KIR;pwd=kir;CS=CP866" -t -l 500K -m 10M -b -k -o kir.txt -x 40M
ПК - главного бухгалтера... Поэтому даже не знаю, че это за файлики....
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\sybase\Any9\win32\dbremote.exe ','');
QuarantineFile('D:\DB\Rem_KIR.bat','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 54
-
Карантин пуст, еще раз выполните последний скрипт.
-
-
Junior Member
- Вес репутации
- 54
shapel,
переделал и отослал.
один ньюанс:
после выполнения скрипта - происходит перезагрузка. После которой загружется фон рабочего стола без ярлыков, но с курсором. на комбинацию клавиш ctrl+alt+del - не реагирует.
Жать ребуут?
-
Ну, как бы больше ничего и не остаётся...
-
-
Сообщение от
Western
после выполнения скрипта - происходит перезагрузка. После которой загружется фон рабочего стола без ярлыков, но с курсором. на комбинацию клавиш ctrl+alt+del - не реагирует.
Жать ребуут?
Уточните, перезагрузка постоянная, после выполнения скрипта?
-
-
Junior Member
- Вес репутации
- 54
после выполнения скрипта - происходит перезагрузка.
RebootWindows(true);
После чего Windows до конца не подгружается. Висит заставка рабочего стола и усе..При этом локальное подключение к этому ПК - было активно (благодаря чему я и сделал карантин и отослал Вам его)
вот через 10 минут сам ушел на перезагрузку, без каких либо моих манипуляций.
Загрузился нормально. только выдало окно об установке нового оборудования.... Но в диспетчере устройств - никакого нового оборудования не отобразилось.
События приложения и системы - ничего не пишет...
-
Карантин успешный! Ждем вердикта вирусного аналитика.
-
-
+ к shapel
Сообщение от
Western
на комбинацию клавиш ctrl+alt+del - не реагирует.
Выполните скрипт в AVZ
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Помогло? Если нет, проверьте наличие файла taskmgr.exe в папке system32
Проверьтесь этим http://support.kaspersky.ru/viruses/...?qid=208636926
Лог работы выложите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
thyrex,
помогло, загрузилось нормально.
Наличие taskmgr.exe в папке system32 - присуствует.
TDSSKiller - запустил, все чисто.
Добавлено через 15 минут
Вроде бы все работает!!!
Сейчас установил Drweb Space
также установлю USBGuard
Надеюсь, что проблема не вернется.
все огромное спасибо...!!!!!
Последний раз редактировалось Western; 26.11.2009 в 23:43.
Причина: Добавлено
-
Не пропадайте
Если файлы, которые послали на анализ зловреды, их надо будет удалить! А пока, их не трогайте!!! Вдруг легитимные.
-
-
Junior Member
- Вес репутации
- 54
shapel,
Еще раз спасибо. 
Завтра буду снова обращатся за помощью. теперь уже со своим ПК.
Боюсь, подхватил какую то заразу....
-
Файлы, посланные на анализ - чистые!
-
