-
Junior Member
- Вес репутации
- 56
Порнобаннер, блокировка ехе, диспетчера, и т.д.
Вот проблема у друга.
Собственно заключается в том что при попытке запустить какую-то прогу появляется порнобаннер с предложением отправить смс с кодом М20920007, который нельзя закрыть. Иногда лишь помогало right-click по desktop'у и выбрать Свойства. Тогда он пропадал. Но иногда всё кроме него зависало и тогда уже только ресет.
Запустил MSCONFIG. Нашёл в Инете некоторые проги из закладки автозагрузки - что они являются вирусами и тому подобной нечистью - выключил их там. Перезагрузка - не помогло.
Потом выбрал Диагностическую загрузку - так же без эффекта.
Правда в Инете я это нашёл запустив Интернет Эксплорер из папки Program Files/Internet Explorer напрямую. И он работал.
Вспомнив об вашем сайте - зашёл почитать и нашёл похожие темы. При запуске AVZ - опять баннер, при чём как из обычного так и Безопасного режима. Интернет Эксплорер по ходу в обычном тоже перестал запускаться - только в безопасном.
Почитав ещё, увидел что у людей работает hijackthis. Запустился и у меня. Просканил и нашёл похожую строчку которую тут советовали пофиксить. (Да, знаю что все случаи уникальны, и т.д., но у меня нету времени тут сидеть весь день и ждать ответа на форуме, поэтому предположив что проблема похожая - то и решение по идеи похожее) Пофиксил и баннер пропал.
Перезагрузил комп в обычный режим (но всё ещё в диагностичном режиме, что б случаем не загрузилось опять чего-то лишнего) и вот прикрепляю теперь логи AVZ & новый лог hijackthis (до фикса лога нету).
Прошу подсказать что делать дальше.
Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Пофиксите с помощью HJT:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\NVUKZ.exe','');
QuarantineFile('c:\MAD\TRACK\mad.exe','');
QuarantineFile('C:\xAVx\ReleAsE\xAVy.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\xAVx\ReleAsE\xAVy.exe');
DeleteFile('c:\MAD\TRACK\mad.exe');
DeleteFile('C:\WINDOWS\system32\NVUKZ.exe');
DelCLSID('{14MAD6M8-1MAD-81AD-JIM6-26OP5G3369085}');
DelCLSID('{67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521}');
DelCLSID('{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}');
DeleteFileMask('C:\xAVx','*.*',true);
DeleteFileMask('c:\MAD','*.*',true);
DeleteDirectory('C:\xAVx');
DeleteDirectory('c:\MAD');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteRepair(13);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы. Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 56
Я выполнил скрипт и пофиксил в Hijack. После исполнения скрипта в avz и перезагрузки компа в msconfig на вкладке автозагрузка всё ещё есть NVUKZ. Поэтому я не менял с диагностической на обычный режим загрузки ОС.
Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.
-
Сделайте лог GMER (см. в моей подписи)
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.
-
Переделайте лог. Нужно нажать кнопку Scan
-
-
Junior Member
- Вес репутации
- 56
Я просканировал прогой Mger і сохранил лог.
Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.
-
Запустите kmd8lcpz[1].exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
Код:
kmd8lcpz[1].exe -del service hyzwcdcmw
kmd8lcpz[1].exe -del service zvaiski
kmd8lcpz[1].exe -del file "C:\WINDOWS\system32\vslpufe.dll''
kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hyzwcdcmw''
kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zvaiski''
kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyzwcdcmw''
kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zvaiski''
kmd8lcpz[1].exe -reboot
Сделайте новый лог gmer.
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.
-
Запустите hrs0y151[1].exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
Код:
hrs0y151[1].exe -del service hyzwcdcmw
hrs0y151[1].exe -del service zvaiski
hrs0y151[1].exe -del file "C:\Program Files\Internet Explorer\vslpufe.dll"
hrs0y151[1].exe -del file "C:\WINDOWS\system32\vslpufe.dll"
hrs0y151[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hyzwcdcmw"
hrs0y151[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zvaiski"
hrs0y151[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyzwcdcmw"
hrs0y151[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zvaiski"
hrs0y151[1].exe -reboot
Сделайте новый лог gmer.
Последний раз редактировалось snifer67; 29.11.2009 в 20:32.
-
-
Junior Member
- Вес репутации
- 56
Сделал опять новий лог gmer.
Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится wgr7h5v0[1].exe (gmer)
Код:
wgr7h5v0[1].exe -del service hyzwcdcmw
wgr7h5v0[1].exe -del service zvaiski
wgr7h5v0[1].exe -del file "C:\Program Files\Internet Explorer\vslpufe.dll"
wgr7h5v0[1].exe -del file "C:\WINDOWS\system32\vslpufe.dll"
wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hyzwcdcmw"
wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zvaiski"
wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyzwcdcmw"
wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zvaiski"
wgr7h5v0[1].exe -reboot
И запустите cleanup.bat
Компьютер перезагрузится
Сделать новый лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\overlapp32.dll - Trojan.Win32.Delf.rvo ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2775233, NOD32: Win32/Spy.Delf.OAH trojan, AVAST4: Win32:Malware-gen )
- c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.ifk ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2759530, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Zbot-MHI [Trj] )
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.380, AVAST4: Win32:Patched-KP [Trj] )
-