Показано с 1 по 16 из 16.

Баннер М201017211 на номер 3381 (заявка № 78853)

  1. #1
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    40
    Вес репутации
    24

    Thumbs up Баннер М201017211 на номер 3381

    Здравствуйте, уважаемые специалисты. Подхватил полупрозрачный баннер с двумя девушками. Просят отправить М201017211 на номер 3381. Коды разблокировки не помогают.
    Восстановление системы отключено, exe-ки не запускаются. Попытка запустить AVZ приводит к выключению машины. Переименовывание AVZ в pics.pic ничего не меняет. HJT не запускается из-за политики ограничения. Даже папку с HJT невозможно открыть - сразу рестарт. CureIt! запускается и сообщает, что обнаружены вирусы RC=3221225477 после нажатия на ОК - ничего. Из браузеров запускается IE.
    В общем вот так.
    Как Вы понимаете, логов пока нет. Надеюсь на Вашу помощь.

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,479
    Вес репутации
    2914
    Live CD с возможностью смотреть и исправлять в реестре есть под рукой (сможете найти)? Например, ERD Commander
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    40
    Вес репутации
    24
    Загрузился с Live CD. В реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ есть параметр AppInit_DLLs но значение не присвоено.

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,479
    Вес репутации
    2914
    Какой Live CD используете?

    Делали так http://virusinfo.info/showpost.php?p=593031&postcount=1 ?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    40
    Вес репутации
    24
    Какой Live CD используете?
    Live CD на базе INFR@ CD.
    Спасибо, сейчас так и сделал. Получилось. Поймал гаденыша и упаковал его в архив.

    А вот и логи, кроме HJT, т.к. он не запускается из-зи групповой политики (тут, я думаю, надо выполнить операцию (1) из Файл - Восстановление системы)
    Вложения Вложения

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,479
    Вес репутации
    2914
    Цитата Сообщение от Black_moon Посмотреть сообщение
    Поймал гаденыша и упаковал его в архив.
    Пришлите архив (запакованный с паролем virus) по красной ссылке Прислать запрошенный карантин вверху темы

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('\\?\globalroot\systemroot\system32\nxUEggt.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
     QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
     DeleteFile('C:\WINDOWS\system32\srnh.lto');
     DeleteFile('C:\Documents and Settings\All Users\systems.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
     DeleteFile('\\?\globalroot\systemroot\system32\nxUEggt.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(11);
    ExecuteRepair(16);
    ExecuteRepair(17);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи. Попробуйте сделать лог HiJack
    Также сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    40
    Вес репутации
    24
    Свежие логи.
    Вложения Вложения

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,479
    Вес репутации
    2914
    А это как же?
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\nxUEggt.exe,
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    40
    Вес репутации
    24

    ComboFix

    лог comboFix
    Вложения Вложения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,479
    Вес репутации
    2914
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\fqpqavs.dll
    c:\windows\system32\ehcujm.dll
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    40
    Вес репутации
    24
    Второй лог после выполнения скрипта. Надеюсь, что все в порядке.... Только сейчас заметил, что пропала языковая панель. И в Панели управления "язык и региональные стандарты" не запускаются. Я думаю и эту проблему решим, только не прямо сейчас. БОЛЬШОЕ спасибо, thyrex, за оказанную помощь.
    Вложения Вложения
    Последний раз редактировалось Black_moon; 21.05.2010 в 01:50.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,479
    Вес репутации
    2914
    Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

    Удалите ComboFix

    Сделайте новый лог HiJack
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    40
    Вес репутации
    24
    Лог HJT
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    В логе чисто.

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .
    - поставте Adobe Reader 9.3 или удалите старый.

  16. #15
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    40
    Вес репутации
    24
    - поставте Adobe Reader 9.3 или удалите старый.
    Поставил новый.
    - Обновите Java .
    Яву обновил.
    - Поставте все последние обновления системы Windows - тут
    В процессе.
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    Не использую, но установил.
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    Попробую обновиться.
    Нда, отстал я от жизни...
    Спасибо за скорую помощь polword-у и особенно thyrex-у.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,518
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \nmzzkyo.dll - Worm.Win32.NeKav.ck ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Black_moon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Порно баннер на номер 3381
      От Valdvd в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.06.2010, 16:49
    2. Баннер на номер 3381
      От Ftpmail в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 26.05.2010, 22:30
    3. Баннер на номер 3381 (M201717655)
      От Sergebambel в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 25.05.2010, 11:04
    4. Баннер-вирус на номер 3381
      От MarkLaren в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.05.2010, 21:12
    5. баннер M201117435 на номер 3381
      От Alex_2 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 21.05.2010, 19:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00200 seconds with 22 queries