Показано с 1 по 13 из 13.

Порнобаннер, блокировка ехе, диспетчера, и т.д. (заявка № 61422)

  1. #1
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30

    Exclamation Порнобаннер, блокировка ехе, диспетчера, и т.д.

    Вот проблема у друга.
    Собственно заключается в том что при попытке запустить какую-то прогу появляется порнобаннер с предложением отправить смс с кодом М20920007, который нельзя закрыть. Иногда лишь помогало right-click по desktop'у и выбрать Свойства. Тогда он пропадал. Но иногда всё кроме него зависало и тогда уже только ресет.

    Запустил MSCONFIG. Нашёл в Инете некоторые проги из закладки автозагрузки - что они являются вирусами и тому подобной нечистью - выключил их там. Перезагрузка - не помогло.
    Потом выбрал Диагностическую загрузку - так же без эффекта.

    Правда в Инете я это нашёл запустив Интернет Эксплорер из папки Program Files/Internet Explorer напрямую. И он работал.

    Вспомнив об вашем сайте - зашёл почитать и нашёл похожие темы. При запуске AVZ - опять баннер, при чём как из обычного так и Безопасного режима. Интернет Эксплорер по ходу в обычном тоже перестал запускаться - только в безопасном.

    Почитав ещё, увидел что у людей работает hijackthis. Запустился и у меня. Просканил и нашёл похожую строчку которую тут советовали пофиксить. (Да, знаю что все случаи уникальны, и т.д., но у меня нету времени тут сидеть весь день и ждать ответа на форуме, поэтому предположив что проблема похожая - то и решение по идеи похожее) Пофиксил и баннер пропал.

    Перезагрузил комп в обычный режим (но всё ещё в диагностичном режиме, что б случаем не загрузилось опять чего-то лишнего) и вот прикрепляю теперь логи AVZ & новый лог hijackthis (до фикса лога нету).

    Прошу подсказать что делать дальше.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,454
    Вес репутации
    907
    1. Пофиксите с помощью HJT:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\NVUKZ.exe','');
     QuarantineFile('c:\MAD\TRACK\mad.exe','');
     QuarantineFile('C:\xAVx\ReleAsE\xAVy.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
     DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\xAVx\ReleAsE\xAVy.exe');
     DeleteFile('c:\MAD\TRACK\mad.exe');
     DeleteFile('C:\WINDOWS\system32\NVUKZ.exe');
     DelCLSID('{14MAD6M8-1MAD-81AD-JIM6-26OP5G3369085}');
     DelCLSID('{67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521}');
     DelCLSID('{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}');
     DeleteFileMask('C:\xAVx','*.*',true);
     DeleteFileMask('c:\MAD','*.*',true);
     DeleteDirectory('C:\xAVx');
     DeleteDirectory('c:\MAD');
     QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
     DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteRepair(13);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы. Сделайте новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30
    Я выполнил скрипт и пофиксил в Hijack. После исполнения скрипта в avz и перезагрузки компа в msconfig на вкладке автозагрузка всё ещё есть NVUKZ. Поэтому я не менял с диагностической на обычный режим загрузки ОС.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    128
    Сделайте лог GMER (см. в моей подписи)
    The Truth is Out There

  6. #5
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30
    Я сделал лог.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,454
    Вес репутации
    907
    Переделайте лог. Нужно нажать кнопку Scan

  8. #7
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30
    Я просканировал прогой Mger і сохранил лог.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Запустите kmd8lcpz[1].exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
    Код:
    kmd8lcpz[1].exe -del service hyzwcdcmw
    kmd8lcpz[1].exe -del service zvaiski
    kmd8lcpz[1].exe -del file "C:\WINDOWS\system32\vslpufe.dll''
    kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hyzwcdcmw''
    kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zvaiski''
    kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyzwcdcmw''
    kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zvaiski''
    kmd8lcpz[1].exe -reboot
    Сделайте новый лог gmer.

  10. #9
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30
    Я сделал новий лог gmer.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Запустите hrs0y151[1].exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
    Код:
    hrs0y151[1].exe -del service hyzwcdcmw
    hrs0y151[1].exe -del service zvaiski
    hrs0y151[1].exe -del file "C:\Program Files\Internet Explorer\vslpufe.dll"
    hrs0y151[1].exe -del file "C:\WINDOWS\system32\vslpufe.dll"
    hrs0y151[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hyzwcdcmw"
    hrs0y151[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zvaiski"
    hrs0y151[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyzwcdcmw"
    hrs0y151[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zvaiski"
    hrs0y151[1].exe -reboot
    Сделайте новый лог gmer.
    Последний раз редактировалось snifer67; 29.11.2009 в 20:32.

  12. #11
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    30
    Сделал опять новий лог gmer.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,578
    Вес репутации
    2916
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится wgr7h5v0[1].exe (gmer)
    Код:
    wgr7h5v0[1].exe -del service hyzwcdcmw
    wgr7h5v0[1].exe -del service zvaiski
    wgr7h5v0[1].exe -del file "C:\Program Files\Internet Explorer\vslpufe.dll"
    wgr7h5v0[1].exe -del file "C:\WINDOWS\system32\vslpufe.dll"
    wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hyzwcdcmw"
    wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zvaiski"
    wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyzwcdcmw"
    wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zvaiski"
    wgr7h5v0[1].exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,551
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\overlapp32.dll - Trojan.Win32.Delf.rvo ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2775233, NOD32: Win32/Spy.Delf.OAH trojan, AVAST4: Win32:Malware-gen )
      2. c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.ifk ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2759530, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Zbot-MHI [Trj] )
      3. c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.380, AVAST4: Win32:Patched-KP [Trj] )


  • Уважаемый(ая) SergSlim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 25.05.2010, 22:23
    2. Порнобаннер + отключен диспетчер задач
      От arva в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.04.2010, 22:28
    3. Порнобаннер, блокировка ПК
      От Hoboz в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.04.2010, 11:13
    4. Порнобаннер и проблема с диспетчером задач
      От Herus Dlinus в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.03.2010, 12:52
    5. Блокировка диспетчера задач
      От DIAMOND в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 02:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00720 seconds with 23 queries