-
Junior Member
- Вес репутации
- 51
Баннер М201017211 на номер 3381
Здравствуйте, уважаемые специалисты. Подхватил полупрозрачный баннер с двумя девушками. Просят отправить М201017211 на номер 3381. Коды разблокировки не помогают.
Восстановление системы отключено, exe-ки не запускаются. Попытка запустить AVZ приводит к выключению машины. Переименовывание AVZ в pics.pic ничего не меняет. HJT не запускается из-за политики ограничения. Даже папку с HJT невозможно открыть - сразу рестарт. CureIt! запускается и сообщает, что обнаружены вирусы RC=3221225477 после нажатия на ОК - ничего. Из браузеров запускается IE.
В общем вот так.
Как Вы понимаете, логов пока нет. Надеюсь на Вашу помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Live CD с возможностью смотреть и исправлять в реестре есть под рукой (сможете найти)? Например, ERD Commander
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Загрузился с Live CD. В реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ есть параметр AppInit_DLLs но значение не присвоено.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Какой Live CD используете?
Live CD на базе INFR@ CD.
Спасибо, сейчас так и сделал. Получилось. Поймал гаденыша и упаковал его в архив.
А вот и логи, кроме HJT, т.к. он не запускается из-зи групповой политики (тут, я думаю, надо выполнить операцию (1) из Файл - Восстановление системы)
-
Сообщение от
Black_moon
Поймал гаденыша и упаковал его в архив.
Пришлите архив (запакованный с паролем virus) по красной ссылке Прислать запрошенный карантин вверху темы
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\nxUEggt.exe','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
DeleteFile('C:\WINDOWS\system32\srnh.lto');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
DeleteFile('\\?\globalroot\systemroot\system32\nxUEggt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи. Попробуйте сделать лог HiJack
Также сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
А это как же?
Сообщение от
thyrex
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\nxUEggt.exe,
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\fqpqavs.dll
c:\windows\system32\ehcujm.dll
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Второй лог после выполнения скрипта. Надеюсь, что все в порядке.... Только сейчас заметил, что пропала языковая панель. И в Панели управления "язык и региональные стандарты" не запускаются. Я думаю и эту проблему решим, только не прямо сейчас. БОЛЬШОЕ спасибо, thyrex, за оказанную помощь.
Последний раз редактировалось Black_moon; 21.05.2010 в 01:50.
-
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Удалите ComboFix
Сделайте новый лог HiJack
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
В логе чисто.
Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- поставте Adobe Reader 9.3 или удалите старый.
-
-
Junior Member
- Вес репутации
- 51
- поставте Adobe Reader 9.3 или удалите старый.
Поставил новый.
Яву обновил.
- Поставте все последние обновления системы Windows - тут
В процессе.
- Установите Internet-Explorer 8.(даже если Вы его не используете)
Не использую, но установил.
- SP2 обновите до Service Pack 3(может потребоваться активация)
Попробую обновиться.
Нда, отстал я от жизни...
Спасибо за скорую помощь polword-у и особенно thyrex-у.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \nmzzkyo.dll - Worm.Win32.NeKav.ck ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )
-