Показано с 1 по 9 из 9.

Баннер 3381 (заявка № 78955)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    26

    Thumbs up Баннер 3381

    Добрый вечер!
    Подцепил сабж. При попытке запуска AVZ комп выключается.
    Удалил кучу файлов с рандомными именами без иконок из system32 и файл system.exe из all users. Также пофиксил жуткий параметр, начинавшийся с R3. Все эти действия практически ничего не изменили. Осталось ещё много подозрительных с О4, прошу посмотреть.
    Точное содержимое параметра Applnt_DLLs:
    C:\WINDOWS\system32\npdx.dll
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Из-под LiveCD:
    1. Переименуйте C:\WINDOWS\system32\npdx.dll
    2. Очистите значение параметра Applnt_DLLs
    3. Перезагрузитесь и пробуйте загрузиться в обычном режиме.

    Если баннер пропал, делайте логи в полном объеме + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    26
    Сделано!
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    c:\windows\system32\msgsvc.dll проверьте на virustotal
    Ссылку на результат проверки сообщите

    Файл, который переименовывали, запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\he.dll
    c:\windows\system32\pazw.dll
    c:\windows\system32\qziiff.dll
    c:\windows\system32\reqyaa.dll
    c:\windows\system32\fjtl.dll
    c:\windows\system32\gy.dll
    c:\windows\system32\cqpcjwjn.dll
    c:\windows\system32\yddy.dll
    c:\windows\system32\qwe.dll
    c:\windows\system32\eij.dll
    c:\windows\system32\otkgm.dll
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\inf\scsi.inf:q8c0R4ShLXO6mB:$DATA','');
     DeleteFile('C:\WINDOWS\inf\scsi.inf:q8c0R4ShLXO6mB:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(11);
    ExecuteRepair(17);
    ExecuteRepair(20);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Обновите базы AVZ
    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    26
    К сожалению, проверить файл не получилось, и он уже исправлен combofix. Карантины выслал. После перезагрузки включился Symantec и поместил в карантин файл vdqwodiy.sys из папки drivers. Собственно, компьютер, похоже, полностью восстановил работоспособность.
    Вложения Вложения

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

    Удалите ComboFix

    Выполните скрипт в AVZ
    Код:
    begin
    DeleteFile('C:\System Volume Information\_restore{B21C9EBA-BFBC-4546-B3F5-7C60D141E169}\RP1\A0000249.inf:q8c0R4ShLXO6mB:$DATA');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    26
    Может, лучше всё-таки отправить карантин по форме форума? У меня ящики на mail.ru и на nextmail.ru, на оба письмо возвращается, так как во вложении содержатся вирусы.
    Вложения Вложения

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Цитата Сообщение от dcvf Посмотреть сообщение
    Может, лучше всё-таки отправить карантин по форме форума?
    Выложите на файлообменник, а ссылку пришлите мне на e-mail

    Чисто

    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Установите Adobe Acrobat 9.3 или удалите старый
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,533
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\inf\scsi.inf:q8c0r4shlxo6mb:$data - Trojan-Ransom.Win32.XBlocker.acx ( DrWEB: Trojan.AdultBan.25, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. \qwe.dll - Trojan-Ransom.Win32.XBlocker.acx ( DrWEB: Trojan.AdultBan.25, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) dcvf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. баннер 3381
      От Alexander044 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 19.06.2010, 20:05
    2. SMS-баннер на 3381
      От clim в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 30.05.2010, 21:19
    3. баннер 3381
      От Skaarj в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.05.2010, 11:48
    4. Баннер 3381
      От ra4udc в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.05.2010, 18:38
    5. баннер 3381
      От BABAX в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 21.05.2010, 22:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00501 seconds with 21 queries