Показано с 1 по 18 из 18.

Информер (заявка № 78883)

  1. #1
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    92
    Вес репутации
    57

    Thumbs up Информер

    При попытке запуска браузера появляется информер с требованием отправить СМС. Проверял DrWeb LiveCD нашел несколько вирусов информер не исчез. Диспечер задач не запускается. Антивирусы тоже. При попытке открыть папку с AVZ компьютер выключается.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    HijackThis?

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте LiveCD с возможностью поиска и исправления в реестре. Например, ERD Commander
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    92
    Вес репутации
    57
    HijackThis запускается, начинает работать, потом с рабочего стола все пропадает и все...

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сообщение №3 прочтите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    92
    Вес репутации
    57
    Прочитал. ERD качается. Что мне потом с ним делать?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Записать образ на диск, загрузиться с созданного диска

    Затем Пуск - Выполнить - erdregedit

    Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs
    Содержимое этого параметра напишите в своем сообщении
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    92
    Вес репутации
    57
    C:\WINDOWS\Inf\syscomp.inf:ABuspPsL

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполнять с LiveCD:
    1. Переименуйте указанный файл
    2. Очистите значение параметра AppInit_DLLs
    3. Перезагрузитесь

    Если баннер пропал, выполняйте правила + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    92
    Вес репутации
    57
    Вот логи

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     ExecuteRepair(13);
    ExecuteWizard('TSW', 2, 2, true);
    QuarantineFile('c:\windows\sorry.exe','');
    DeleteFile('c:\windows\sorry.exe');
    QuarantineFile('\\?\globalroot\systemroot\system32\snorgy2.exe','');
    DeleteFile('\\?\globalroot\systemroot\system32\snorgy2.exe');
    QuarantineFile('\\?\globalroot\systemroot\system32\arzkcyh.exe','');
    DeleteFile('\\?\globalroot\systemroot\system32\arzkcyh.exe');
    QuarantineFile('\\?\globalroot\systemroot\system32\fjwbqsy.exe','');
    DeleteFile('\\?\globalroot\systemroot\system32\fjwbqsy.exe');
     QuarantineFile('C:\DOCUME~1\8E8B~1\LOCALS~1\Temp\espFA92.tmp','');
     QuarantineFile('C:\WINDOWS\inf\syscomp_new.inf:ABuspPsL:$DATA','');
    QuarantineFile('srnh.lto','');
    DeleteFile('srnh.lto');
     DeleteFile('C:\WINDOWS\inf\syscomp_new.inf:ABuspPsL:$DATA');
    RenameFile('C:\WINDOWS\inf\syscomp_new.inf', 'C:\WINDOWS\inf\syscomp.inf');
     RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit',
    GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     DeleteFile('C:\DOCUME~1\8E8B~1\LOCALS~1\Temp\espFA92.tmp');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate; 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
    Обновите базы AVZ.
    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Дополнительно к совету AndreyKa

    Выполните скрипт в AVZ
    Код:
    begin
    RegSearch('HKLM', '', 'espFA92.tmp');
     SaveLog(GetAVZDirectory + 'avz.log');
    end.
    Файл avz.log из папки AVZ прикрепите к сообщению

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\khl.dll
    c:\windows\system32\jawcrhqsn.dll
    c:\windows\system32\t.dll
    c:\windows\system32\faquytaw.dll
    c:\windows\system32\ceuxjfuip.dll
    c:\windows\system32\df.dll
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    92
    Вес репутации
    57
    Карантин был пустой. Вот остальные логи.

  15. #14
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    92
    Вес репутации
    57
    Остальные.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\9445D642');
    RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\9445D642');
    RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\9445D642');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог virusinfo_syscheck.zip

    Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

    Удалите ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    92
    Вес репутации
    57
    Карантин отправил.

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    F:\autorun.inf удалите вручную

    Больше ничего плохого

    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    92
    Вес репутации
    57
    Спасибо.

  • Уважаемый(ая) IvanR, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Информер
      От may_be11 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.05.2010, 21:24
    2. Информер с СМС
      От Vlupidol в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.12.2009, 11:02
    3. информер
      От NightWolf13 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.08.2009, 23:53
    4. Информер
      От Geser в разделе Информационные сообщения
      Ответов: 19
      Последнее сообщение: 12.08.2009, 22:36
    5. Информер
      От artembl4 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.02.2009, 13:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00088 seconds with 17 queries