Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

SMS-баннер (заявка № 70263)

  1. #1
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    18
    Вес репутации
    52

    Thumbs up SMS-баннер

    Товарищ попросил помочь, принес свой компьютер.
    Проблема такая, - после окна "приветствие" при загрузке системы появляется баннер на весь экран о якобы зараженной системе с просбой отправить SMS.
    Я загрузился с LiveCD, сделал логи.
    Помогите пожалуйста.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Выполните скрипт в AVZ (из LiveCD):
    Код:
    begin
     DeleteFile('C:\WINDOWS\system32\syschk32.exe');
    end.
    Попробуйте загрузиться с зараженной системы в нормальном режиме и, если загрузится, сделайте новые логи.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    18
    Вес репутации
    52
    Скрипт выполнил, система не загружается, выскакивает тот же баннер на весь экран.

  5. #4
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    18
    Вес репутации
    52
    м?)

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Попробуйте получить код разблокировки на этих сервисах:
    http://support.kaspersky.ru/viruses/deblocker
    http://www.drweb.com/unlocker/index
    http://esetnod32.ru/support/winlock.php
    Если получится разблокировать, сделайте логи.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  7. #6
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    18
    Вес репутации
    52
    Код разблокировки получил. Загрузился с системы.
    Вот новые логи:
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    18
    Вес репутации
    52

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    В HiJackThis пофиксите:

    Код:
    F2 - REG:system.ini: Shell=explorer.exe,
    O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
    O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
    В AVZ выполните скрипт:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\syschk32.exe','');
     DeleteFile('C:\WINDOWS\system32\syschk32.exe');
     DeleteFile('C:\WINDOWS\Tasks\SystemCheck.job');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RebootWindows(true);
    end.
    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    Логи повторите в обычном режиме, а не в безопасном.

  10. #9
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    18
    Вес репутации
    52
    В HiJackThis пофиксите:

    [code]
    F2 - REG:system.ini: Shell=explorer.exe,
    O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
    O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)

    Эти строчки в HiJackThis отсутствуют, поэтому пофиксить не могу.
    Скрипты в AVZ выполнил, но архив quarantine.zip получился пустым почему-то. Присылаю карантин virus.zip

    Добавлено через 1 минуту

    Файл сохранён как 100206_130935_virus_4b6d3fdf5dac7.zip
    Размер файла 2602766
    MD5 d1d2705aadb43f8d0a9b74f676166beb
    Файл закачан, спасибо!
    Последний раз редактировалось AlexandrVl; 06.02.2010 в 13:09. Причина: Добавлено

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    227
    Подготовьте новые логи в обычном режиме.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  12. #11
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    18
    Вес репутации
    52
    Новые логи:
    Вложения Вложения

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Цитата Сообщение от Белый Сокол Посмотреть сообщение
    Подготовьте новые логи в обычном режиме.
    ?
    Зачем вы логи, загрузившись с livecd сделали? В обычном режиме сделайте.

  14. #13
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    18
    Вес репутации
    52
    В обычном режиме комп не загружается, после окна загрузки Windows вылетает "синий экран смерти". Удалось загрузиться только в Безопасном режиме, вот логи:

  15. #14
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    18
    Вес репутации
    52
    Господа, подскажите что делать-то? Очень нужен комп..

    Добавлено через 1 час 30 минут

    Есть кто живой?(
    Последний раз редактировалось AlexandrVl; 06.02.2010 в 18:09. Причина: Добавлено

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В hijackthis пофиксите:

    Код:
    F2 - REG:system.ini: Shell=explorer.exe,
    Сделайте лог MBAM
    сделайте лог Gmer

  17. #16
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    18
    Вес репутации
    52
    Удалось загрузиться в обычном режиме, нажал F8 и выбрал "Загрузка последней удачной конфигурации"
    Ещё проблема - при попытке открыть Диспетчер задач, пишет что заблокировано администратором.
    Логи MBAM и Gmer:

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Выполните скрипт

    Код:
    begin
    clearquarantine;
    quarantinefile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
    executerepair(11);
    bc_importquarantinelist;
    bc_activate;
    rebootwindows(true);
    end.
    после перезагрузки
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
    Логи повторите по правилам. После отката у вас все восстановилось.

  19. #18
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    18
    Вес репутации
    52
    Файл сохранён как 100206_220740_quarantine_4b6dbdfccf68e.zip
    Размер файла 3370123
    MD5 2a0c681ac9b62754bb9663d4f0e65b52
    Файл закачан, спасибо!

    Логи:

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Пофиксите в hijackthis:

    Код:
    O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
    O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
    Выполните скрипт

    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    rebootwindows(false);
    end.
    Adobe Acrobat 6.0 - удалить! Поставьте последнюю версию. Java обновите.
    Более ничего плохого не нахожу в логах. Проблема решена?

  21. #20
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    18
    Вес репутации
    52
    Поставил Adobe Acrobat Reader 9.3 и Java(TM) 6 update 18 Вроде это последние версии.
    Проблема решена, по крайней мере никаких проблем я не замечаю.
    Большое спасибо за помощь!

  • Уважаемый(ая) AlexandrVl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. баннер.
      От aerofan в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 26.03.2011, 03:43
    2. Баннер
      От Valdvd в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.11.2010, 14:53
    3. Баннер
      От Paul_Pustota в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 06.09.2010, 08:07
    4. Ответов: 3
      Последнее сообщение: 17.04.2010, 03:00
    5. СМС баннер
      От Vlad_V в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.01.2010, 23:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00405 seconds with 20 queries