Показано с 1 по 13 из 13.

Поймал банер от InformSecurity (заявка № 71675)

  1. #1
    Junior Member Репутация
    Регистрация
    04.12.2009
    Сообщений
    35
    Вес репутации
    53

    Thumbs up Поймал банер от InformSecurity

    Здравствуйте, помогите пожайлуста вот в каком деле:
    Вчера поймал банер с белым фоном, в котором сообщается о том что мой компьютер заражен Trojan-Spy.Win32.Zbot.ikh и ООО "InformSecurity" предлагает удалить его за СМС. Короче обычный лохотрон. Диспетчер задач не вызывается. Высылаю логи.
    P.S. Проверял систему в безопасном режиме своим антивиром (NIS2010), VRT, и Dr.Web - никаких результатов(((
    P.P.S. Отключить автоматическое востановление системы не смог(((

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    PokerStars - это Вам знакомо?

    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
     O4 - HKLM\..\Run: [portmap.exe] C:\WINDOWS\system32\portmap.exe
     O4 - HKLM\..\Policies\Explorer\Run: [] 
     O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\system32\portmap.exe
     O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file)
     O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
     QuarantineFile('C:\WINDOWS\system32\portmap.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\yxwon.sys','');
     DeleteService('ogflt');
     DeleteFile('C:\WINDOWS\system32\drivers\yxwon.sys');
     DeleteFile('C:\WINDOWS\system32\portmap.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - обновите базы AVZ
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    04.12.2009
    Сообщений
    35
    Вес репутации
    53
    Цитата Сообщение от polword Посмотреть сообщение
    PokerStars - это Вам знакомо?
    Ну да, на PokerStars бывало подвисал, как домой попаду обязательно попробую, о результатах отпишусь спасибо за помощь.

  5. #4
    Junior Member Репутация
    Регистрация
    04.12.2009
    Сообщений
    35
    Вес репутации
    53
    Все сделал, вот новые логи

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    сделайте логи в нормальном режиме

  7. #6
    Junior Member Репутация
    Регистрация
    04.12.2009
    Сообщений
    35
    Вес репутации
    53
    О заработал обычный режим, спасибо огромное за помощь; при запуске выдало ошибку об отсутствии файла portmap.exe, как я понял он и был вирусом? Так вы считаете что я его словил через pokerstars.net?
    Высылаю новые логи

  8. #7
    Junior Member Репутация
    Регистрация
    04.12.2009
    Сообщений
    35
    Вес репутации
    53
    МММММММ, тут вот какая проблемка - Диспетчер задач по прежнему не запускается, выводится сообщение о том что он отключен администратором

    Добавлено через 2 минуты

    И отключить востановление системы тоже все еще не возможно, что посоветуете???
    Последний раз редактировалось troyanix; 19.02.2010 в 15:02. Причина: Добавлено

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     ExecuteRepair(11);
     ExecuteRepair(6);
     ExecuteRepair(8);
     ExecuteRepair(9);
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Добавлено через 6 минут

    Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
     R3 - URLSearchHook: (no name) - - (no file)
     F3 - REG:win.ini: run=C:\WINDOWS\system32\portmap.exe
    Последний раз редактировалось polword; 19.02.2010 в 15:36. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    04.12.2009
    Сообщений
    35
    Вес репутации
    53
    СПАСИБО ОГРОМНОЕ)))))) Все заработало!!!

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Вы можете отблагодарить весь проект VirusInfo вот тут.

  12. #11
    Junior Member Репутация
    Регистрация
    04.12.2009
    Сообщений
    35
    Вес репутации
    53
    Хорошо, когда будет свободное время - обязательно поучавствую, всего доброго и еще раз спасибо!!!

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Пожалуйста!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) troyanix, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Поймал банер помогите
      От рус11 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.04.2012, 20:29
    2. Поймал банер
      От buza45 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.08.2010, 18:01
    3. Поймал банер, нет интернета
      От Дмитрий П. в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 23.03.2010, 17:22
    4. Вчера поймал банер
      От Serga7777 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 10.01.2010, 00:39

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01469 seconds with 19 queries