Показано с 1 по 12 из 12.

DownloadMaster (заявка № 65321)

  1. #1
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    12
    Вес репутации
    26

    Thumbs up DownloadMaster

    Начну по порядку, суть проблемы СМС вымогатель скриншот приведен ниже:
    Система вин ХР ср3, Антивирусник (Avira обновлял на кануне заражения) работать перестал, зловред не дает запускать никакие ехе, сом, смд и другие исполняемые файлы, или перезагрузка или опять всплывает баннер, баннер можно убрать правой кнопкой по рабочему столу – «свойства»
    из того что попробовал:
    - Вызов диспетчера задач 3 кнопками(Ctrl+Alt+Del) не дает результата;
    - точка восстановления не отключается, запрещено политикой;
    - CureIt - не запустился;
    - AVPTool – не запустился;
    - AVZ и AVZ polymorf – не запустился;
    - osam – не запустился;
    - gmer\get4 – не запустился;
    - Запуск интернет эксплорера через экранную лупу не помогает;
    - hiJackThis – работает только переименованный с смд файлом(thx кто сделал его);
    Код:
    R3 - URLSearchHook: (no name) -  - (no file) – был пофиксен;
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe – не было в списке;
    O20 - AppInit_DLLs: C:\WINDOWS\system32\nbnlml.dll – в игнор листе был пофиксен;
    O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - JVMOD32.DLL (file missing) – не было в списке;
    O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe – не было в списке;
    O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe – не было в списке;
    O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe – не было в списке;
    O20 - AppInit_DLLs: C:\WINDOWS\system32\cntsqa.dll – не было в списке;
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 – бфл пофиксен;
    O20 - AppInit_DLLs: C:\WINDOWS\system32\gke.dll - не было в списке;
    Лог прилагаю.

    Из live CD попробовал DrWeb ничего не было найдено, кроме archive OLE в hiJackThis.
    Последний раз редактировалось 8t88; 22.01.2011 в 04:12.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Из под LiveCD почистите все временные папки (Temp, Temporary Internet Files) во всех аккаунтах. Затем пробуйте сделать логи.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
    2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
    3) Запустить утилиту AVPTool и провести полное сканирование ПК;
    4) Перезагрузить компьютер.

  5. #4
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    12
    Вес репутации
    26
    удаление файлов не помогло но помог ввод кода(сенк кто нашел закономерность):
    «0» в тексте – «8» в коде
    «1» в тексте – «9» в коде
    «2» в тексте – «1» в коде
    «3» в тексте -«2»
    «4» в тексте – «3»
    «М»в тексте – «3»
    «5» в тексте – «4»
    «6» в тексте – «5»
    «7» в тексте – «6»
    «8» в тексте – «7»
    «9» в тексте – «8»
    «К» в тексте – «1»

    15.12.2009 -дата
    После запуска Gmer перезагрузка
    Новые логи:
    - AVZ polymorf;
    - osam;
    - Combofix
    - hiJackThis:

    ЗЫ: поставил на проверку AVPTool.
    Последний раз редактировалось 8t88; 22.01.2011 в 04:12.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\xwfvcmq.dll','');
    QuarantineFile('c:\windows\system32\xjeudwab.dll','');
    QuarantineFile('c:\windows\system32\uaazbs.dll','');
    QuarantineFile('c:\windows\system32\tzm.dll','');
    QuarantineFile('c:\windows\system32\mmptdf.dll','');
    QuarantineFile('c:\windows\system32\le.dll','');
    QuarantineFile('c:\windows\system32\gza.dll','');
    QuarantineFile('c:\windows\system32\ettfoigs.dll','');
    QuarantineFile('c:\windows\system32\di.dll','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  7. #6
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    12
    Вес репутации
    26
    скрипт выполнил
    файл virus.zip загрузил
    Файл сохранён как 091229_001510_virus_4b391fde8e0e5.zip
    Размер файла 1053596
    MD5 bc167da75b9cbedf21caf855153f443e
    вот новые логи:
    Последний раз редактировалось 8t88; 22.01.2011 в 04:12.

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    Логи AVZ сделайте обычной версией (не забыв обновить базы), а не полиморфом
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    12
    Вес репутации
    26
    обновил avz и комбофикс, сделал логи:
    Последний раз редактировалось 8t88; 22.01.2011 в 04:12.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Чисто.Что с проблемой ?

    Установите Internet Explorer 8

  11. #10
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    12
    Вес репутации
    26
    Цитата Сообщение от snifer67 Посмотреть сообщение
    Чисто.Что с проблемой ?

    Установите Internet Explorer 8
    все вроде бы ок
    а ie 8 обязательно устанавливать?

    thx за помощь
    Последний раз редактировалось 8t88; 29.12.2009 в 21:24.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    IE обязательно обновить.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,560
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\di.dll - Packed.Win32.Krap.w
      2. c:\windows\system32\ettfoigs.dll - Packed.Win32.Krap.w
      3. c:\windows\system32\gza.dll - Packed.Win32.Krap.w
      4. c:\windows\system32\le.dll - Packed.Win32.Krap.w
      5. c:\windows\system32\mmptdf.dll - Packed.Win32.Krap.w
      6. c:\windows\system32\tzm.dll - Packed.Win32.Krap.w
      7. c:\windows\system32\uaazbs.dll - Packed.Win32.Krap.w
      8. c:\windows\system32\xjeudwab.dll - Packed.Win32.Krap.w
      9. c:\windows\system32\xwfvcmq.dll - Packed.Win32.Krap.w


  • Уважаемый(ая) 8t88, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Самостоятельный запуск DownloadMaster
      От Равиль Акмаев в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 02.07.2012, 21:28
    2. Ответов: 16
      Последнее сообщение: 05.01.2010, 17:43
    3. Ответов: 5
      Последнее сообщение: 30.12.2009, 00:43
    4. Ответов: 4
      Последнее сообщение: 28.12.2009, 16:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01114 seconds with 23 queries