Показано с 1 по 13 из 13.

Порнобаннер, блокировка ехе, диспетчера, и т.д. (заявка № 61422)

  1. #1
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    56

    Exclamation Порнобаннер, блокировка ехе, диспетчера, и т.д.

    Вот проблема у друга.
    Собственно заключается в том что при попытке запустить какую-то прогу появляется порнобаннер с предложением отправить смс с кодом М20920007, который нельзя закрыть. Иногда лишь помогало right-click по desktop'у и выбрать Свойства. Тогда он пропадал. Но иногда всё кроме него зависало и тогда уже только ресет.

    Запустил MSCONFIG. Нашёл в Инете некоторые проги из закладки автозагрузки - что они являются вирусами и тому подобной нечистью - выключил их там. Перезагрузка - не помогло.
    Потом выбрал Диагностическую загрузку - так же без эффекта.

    Правда в Инете я это нашёл запустив Интернет Эксплорер из папки Program Files/Internet Explorer напрямую. И он работал.

    Вспомнив об вашем сайте - зашёл почитать и нашёл похожие темы. При запуске AVZ - опять баннер, при чём как из обычного так и Безопасного режима. Интернет Эксплорер по ходу в обычном тоже перестал запускаться - только в безопасном.

    Почитав ещё, увидел что у людей работает hijackthis. Запустился и у меня. Просканил и нашёл похожую строчку которую тут советовали пофиксить. (Да, знаю что все случаи уникальны, и т.д., но у меня нету времени тут сидеть весь день и ждать ответа на форуме, поэтому предположив что проблема похожая - то и решение по идеи похожее) Пофиксил и баннер пропал.

    Перезагрузил комп в обычный режим (но всё ещё в диагностичном режиме, что б случаем не загрузилось опять чего-то лишнего) и вот прикрепляю теперь логи AVZ & новый лог hijackthis (до фикса лога нету).

    Прошу подсказать что делать дальше.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    1. Пофиксите с помощью HJT:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\NVUKZ.exe','');
     QuarantineFile('c:\MAD\TRACK\mad.exe','');
     QuarantineFile('C:\xAVx\ReleAsE\xAVy.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
     DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\xAVx\ReleAsE\xAVy.exe');
     DeleteFile('c:\MAD\TRACK\mad.exe');
     DeleteFile('C:\WINDOWS\system32\NVUKZ.exe');
     DelCLSID('{14MAD6M8-1MAD-81AD-JIM6-26OP5G3369085}');
     DelCLSID('{67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521}');
     DelCLSID('{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}');
     DeleteFileMask('C:\xAVx','*.*',true);
     DeleteFileMask('c:\MAD','*.*',true);
     DeleteDirectory('C:\xAVx');
     DeleteDirectory('c:\MAD');
     QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
     DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteRepair(13);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы. Сделайте новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    56
    Я выполнил скрипт и пофиксил в Hijack. После исполнения скрипта в avz и перезагрузки компа в msconfig на вкладке автозагрузка всё ещё есть NVUKZ. Поэтому я не менял с диагностической на обычный режим загрузки ОС.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    154
    Сделайте лог GMER (см. в моей подписи)
    The Truth is Out There

  6. #5
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    56
    Я сделал лог.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Переделайте лог. Нужно нажать кнопку Scan

  8. #7
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    56
    Я просканировал прогой Mger і сохранил лог.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Запустите kmd8lcpz[1].exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
    Код:
    kmd8lcpz[1].exe -del service hyzwcdcmw
    kmd8lcpz[1].exe -del service zvaiski
    kmd8lcpz[1].exe -del file "C:\WINDOWS\system32\vslpufe.dll''
    kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hyzwcdcmw''
    kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zvaiski''
    kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyzwcdcmw''
    kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zvaiski''
    kmd8lcpz[1].exe -reboot
    Сделайте новый лог gmer.

  10. #9
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    56
    Я сделал новий лог gmer.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Запустите hrs0y151[1].exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
    Код:
    hrs0y151[1].exe -del service hyzwcdcmw
    hrs0y151[1].exe -del service zvaiski
    hrs0y151[1].exe -del file "C:\Program Files\Internet Explorer\vslpufe.dll"
    hrs0y151[1].exe -del file "C:\WINDOWS\system32\vslpufe.dll"
    hrs0y151[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hyzwcdcmw"
    hrs0y151[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zvaiski"
    hrs0y151[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyzwcdcmw"
    hrs0y151[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zvaiski"
    hrs0y151[1].exe -reboot
    Сделайте новый лог gmer.
    Последний раз редактировалось snifer67; 29.11.2009 в 20:32.

  12. #11
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    56
    Сделал опять новий лог gmer.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится wgr7h5v0[1].exe (gmer)
    Код:
    wgr7h5v0[1].exe -del service hyzwcdcmw
    wgr7h5v0[1].exe -del service zvaiski
    wgr7h5v0[1].exe -del file "C:\Program Files\Internet Explorer\vslpufe.dll"
    wgr7h5v0[1].exe -del file "C:\WINDOWS\system32\vslpufe.dll"
    wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hyzwcdcmw"
    wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zvaiski"
    wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyzwcdcmw"
    wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zvaiski"
    wgr7h5v0[1].exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\overlapp32.dll - Trojan.Win32.Delf.rvo ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2775233, NOD32: Win32/Spy.Delf.OAH trojan, AVAST4: Win32:Malware-gen )
      2. c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.ifk ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2759530, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Zbot-MHI [Trj] )
      3. c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.380, AVAST4: Win32:Patched-KP [Trj] )


  • Уважаемый(ая) SergSlim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 25.05.2010, 22:23
    2. Порнобаннер + отключен диспетчер задач
      От arva в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.04.2010, 22:28
    3. Порнобаннер, блокировка ПК
      От Hoboz в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.04.2010, 11:13
    4. Порнобаннер и проблема с диспетчером задач
      От Herus Dlinus в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.03.2010, 12:52
    5. Блокировка диспетчера задач
      От DIAMOND в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 02:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00305 seconds with 19 queries