Показано с 1 по 13 из 13.

Информер - смс на номер 1350 (заявка № 63998)

  1. #1
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    6
    Вес репутации
    26

    Exclamation Информер - смс на номер 1350

    Здравствуйте.
    Вчера выскочило сообщение о блакировке доступа в сеть и об отправке смс на номер 1350. Операционная система Win XP SP2. Выполнил все указания по проверке, логи прилагаю. Помогите..
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    1. запустить программку, что в аттаче. ПК будет перезагружен.
    2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.
    3.Сделаете новые логи.
    Вложения Вложения
    • Тип файла: zip get2.zip (697 байт, 54 просмотров)

  4. #3
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    6
    Вес репутации
    26
    Все сделал как написали, swenum.sys переписывал с другого ПК, логи прилагаю
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Пофиксите в HiJack
    Код:
    R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\autores.exe,C:\WINDOWS\system32\sdra64.exe,
    O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
     QuarantineFile('C:\WINDOWS\autores.exe','');
     QuarantineFile('C:\WINDOWS\system32\331.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\~TM1261.tmp','');
     QuarantineFile('C:\Documents and Settings\Оля\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     QuarantineFile('C:\DOCUME~1\D10E~1\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Qye17.sys','');
     DeleteService('Qye17');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Pwd40.sys','');
     DeleteService('Pwd40');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Jqw38.sys','');
     DeleteService('Jqw38');
     QuarantineFile('C:\WINDOWS\system32\drivers\i386si.sys','');
     DeleteService('i386si');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Gnt06.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Gnt28.sys','');
     DeleteService('Gnt28');
     DeleteService('Gnt06');
     QuarantineFile('C:\WINDOWS\system32\Drivers\psbmjzbu.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Gnt28.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Gnt06.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Jqw38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Pwd40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Qye17.sys');
     DeleteFile('C:\DOCUME~1\D10E~1\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('C:\Documents and Settings\Оля\Главное меню\Программы\Автозагрузка\siszyd32.exe');
     DeleteFile('C:\WINDOWS\TEMP\~TM1261.tmp');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
     DeleteFile('C:\WINDOWS\system32\331.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme');
     DeleteFile('C:\WINDOWS\autores.exe');
     DeleteFile('C:\WINDOWS\system32\regedit.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     DeleteFile('WLCtrl32.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32','DLLName');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    6
    Вес репутации
    26
    Все действия выполнил, карантин отправил, логи прилагаю
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Обновите базы AVZ.
    Сделайте новые логи AVZ.

  8. #7
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    6
    Вес репутации
    26
    Обновил, логи прилагаю
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Не видно ничего подозрительного. Проблема решена?

  10. #9
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    6
    Вес репутации
    26
    Проблема с вирусом решена, спасибо огромное за помощь.
    Вот только звук пропал, везде и совсем((

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Скорее всего слетел "Перечеслитель программных устройств Plug And Play". Если его нет в Диспетчере Устройств, то надо:
    1) Скопировать в папку \temp файл \%windir%\system32\inf\machine.inf
    2) Скопировать в папку \temp файл \%windir%\system32\drivers\swenum.sys
    3) Скопировать в папку \temp файл \%windir%\system32\streamci.dll
    4) Открыть в Блокноте файл \temp\machine.inf
    5) Удалить строки, содержащие ExcludeFromSelect=*
    6) Сохранить файл machine.inf
    7) Добавить новое устройство (в качестве источника указать "Установить с диска" и файл \temp\machine.inf).
    8 ) Добавить устройство Перечеслитель программных устройств Plug And Play
    9) Перегрузиться и проверить работу звука.
    Источник: http://forum.ixbt.com/topic.cgi?id=22:59959

  12. #11
    Junior Member Репутация
    Регистрация
    16.12.2009
    Сообщений
    6
    Вес репутации
    26
    Все действия выполнил, звука по прежнему нет, а теперь еще плюс компьютер стал "рывками" работать, зависает после определенного количества действий, а через какое-то время все быстро делает, потом поработает нормально и опять "затихает"..

    Допускаю что не верно выполнил данный пункт:
    5) Удалить строки, содержащие ExcludeFromSelect=*
    Я удалил именно эту строку, надо было удалить все строки с * или сами *, не понял этого.

    Если это уже не в этот форум пойму, заранее спасибо за помошь.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Кроме переустановки Windows в режиме восстановления:
    http://support.microsoft.com/kb/315341/ru (см. Способ 2) посоветовать больше ничего не могу.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,537
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\оля\главное меню\программы\автозагрузка\siszyd32.exe - Backdoor.Win32.Bredolab.bnq ( DrWEB: Trojan.Botnetlog.124, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan )
      2. c:\windows\temp\~tm1261.tmp - Trojan-Dropper.Win32.Agent.bjpb ( DrWEB: Trojan.MulDrop.53398, NOD32: Win32/TrojanProxy.Tikayb.A trojan, AVAST4: Win32:Small-NDO [Trj] )


  • Уважаемый(ая) Thurse, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. SMS на номер 1350 или 3353
      От publ в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 25.10.2010, 11:26
    2. информер Get Access 861287138 1350 (заявка №3428)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 11.02.2010, 12:00
    3. смс на номер 1350
      От sm84 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.12.2009, 13:40
    4. смс на номер 1350.... help
      От Immortal__ в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.12.2009, 21:36
    5. Get Accelerator на номер 1350
      От itolianezzz в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.12.2009, 09:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00991 seconds with 23 queries