-
Junior Member
- Вес репутации
- 54
Блокировка системы порнобаннером
Блокировка системы порнобаннером.
Блокировка полная, предложение прислать смс на номера 5370,5373, 7250 с текстом 154650.
Пробовала всякие деблокираторы, не помогает, это что-то из новенького, прилетела 16-го марта.
Еще раз уточняю, что блокируется все как в основнм, так и в безопасном режимах.
Удалось зайти в безопасном с уч.записью Администратора, чистый рабочий стол, но по CTRL+ALT+DEL загрузилось приложение Prowise Manager.
Здесь можно запустить какие-либо приложения.
Дважды отработал Drweb Curelt (Первый раз нашел вирусы, вчера вечером со свежескаченной утилитой - нет), Запустился и отработал AVP Tools (Virus Removal Tool 9.00.722 - 16 марта).
AVZ В безопасном запускается, скрипты отрабатывают, но протоколы не сохраняет, поэтому не смогу выслать).
Утилита HiJackThis не стартует.
Переустановка Windows не желательно, т.к. машина рабочая и там много чего.
Помогите!!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- попробуйте в нормальном режиме сделать логи AVZ, воспользовавшись комбинацией клавиш WIN+U
- ну или в безопасном режиме сделайте лог MBAM и лог Gmer
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 54
Продолжаю.
Сегодня с утра баннер висел (последняя чистка Curelt-ом была вчера вечером), потом пыталась несколько раз перезагружаться и вводить коды из предлагаемых программами "деблокираторами".
В результате очередной перезагрузки пропал баннер, но и с ним пропал Рабочий стол.
Что отключило этот баннер - загадка! Вообще,
Добавлю, что на компе стоит DrWeb Interprise Server лицензионный, с него обновляются все рабочие станции предприятия.
Сейчас все рабочие станции и сеть мой компьютер видит, но хочется вернуть рабочий стол.
Восстановление реестра от 09 марта 2010г ситуацию не исправил.
Сейчас отправляю протоколы в соответствии с правилами.
Хочется избежать переустановки ОС.
Один протокол из AVZ еще работает, поэтому пока высылаю имеющиеся.
Последний раз редактировалось GsT; 27.05.2010 в 10:40.
-
Junior Member
- Вес репутации
- 54
Извините, были ошибочно отправлены логи с другого компа. Повторяю.
Последний раз редактировалось GsT; 27.05.2010 в 10:40.
-
Junior Member
- Вес репутации
- 54
Неужели такой безнадежный случай?
Рабочий день заканчивается, разница с Москвой на 4 часа. Ответьте, пжлста, с утра завтра порадуюсь. Спасибо.
-
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mrcmgr.exe,C:\WINDOWS\system32\pdbcopy.exe,
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\drwuninst.exe','');
QuarantineFile('C:\WINDOWS\system32\pdbcopy.exe','');
QuarantineFile('C:\WINDOWS\system32\mrcmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethyjalq.sys','');
QuarantineFile('C:\Documents and Settings\Liska\Local Settings\Temporary Internet Files\Content.IE5\NGS43A5S\xxx_video_608503[1][1].avi.exe','');
DeleteService('Winyw52');
DeleteService('Winys63');
DeleteService('Winyl52');
DeleteService('Winxr72');
DeleteService('Winwj74');
DeleteService('Winwf70');
DeleteService('Winsq26');
DeleteService('Winpn83');
DeleteService('Winox41');
DeleteService('Winmd06');
DeleteService('Winlr06');
DeleteService('Winlq81');
DeleteService('Winkh77');
DeleteService('Winjo63');
DeleteService('Winjo28');
DeleteService('Winje04');
DeleteService('Winjd04');
DeleteService('Winhp68');
DeleteService('Wingh74');
DeleteService('Wingd26');
DeleteService('Winfh83');
DeleteService('Windm06');
DeleteService('Wincs37');
DeleteService('Wincc02');
DeleteService('Winbn04');
DeleteService('Winaq13');
DeleteService('ethyjalq');
DeleteFile('C:\WINDOWS\system32\drivers\ethyjalq.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaq13.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbn04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincc02.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincs37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windm06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfh83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingd26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingh74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhp68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjd04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winje04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkh77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmd06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winox41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpn83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsq26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwf70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwj74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxr72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyl52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winys63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyw52.sys');
DeleteFile('C:\Documents and Settings\Liska\Local Settings\Temporary Internet Files\Content.IE5\NGS43A5S\xxx_video_608503[1][1].avi.exe');
DeleteFile('C:\WINDOWS\system32\mrcmgr.exe');
DeleteFile('C:\WINDOWS\system32\pdbcopy.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 54
Спасибо, Рабочий стол загрузился сразу после того, как пофиксили. Скрипт в AVZ тоже выполнила. Высылаю новые протоколы. Еще раз спасибо.
Последний раз редактировалось GsT; 27.05.2010 в 10:40.
-
Junior Member
- Вес репутации
- 54
Напишите, пжлста, у меня все нормально на компе после последних протоколов? Можно ни о чем не беспокоится и продолжать работать? Если так, то можно закрыть тему. Спасибо.
-
Вот об это надо беспокоиться: Platform: Windows XP SP2 (WinNT 5.01.2600)
Не обновите, заразитесь по новой.
Выполнить для зачистки:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winys63');
BC_DeleteSvc('Winwj74');
BC_DeleteSvc('Winsq26');
BC_DeleteSvc('Winpn83');
BC_DeleteSvc('Winlq81');
BC_DeleteSvc('Winkh77');
BC_DeleteSvc('Winjo63');
BC_DeleteSvc('Winjo28');
BC_DeleteSvc('Winjd04');
BC_DeleteSvc('Winhp68');
BC_DeleteSvc('Wingh74');
BC_DeleteSvc('Wingd26');
BC_DeleteSvc('Winfh83');
BC_DeleteSvc('Windm06');
BC_DeleteSvc('Wincs37');
BC_DeleteSvc('Wincc02');
BC_DeleteSvc('protect');
DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincc02.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincs37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windm06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfh83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingd26.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingh74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhp68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjd04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjo63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkh77.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winox41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpn83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winys63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwj74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsq26.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Логи повторить после перезагрузки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения вредоносные программы в карантинах не обнаружены
-