Junior Member
Вес репутации
53
Помогите!!! рекламный модуль (отправьте 2 смс с текстом Т702516900 на номер 3381)
Не знаю что делать...
пробовал разные коды с сервисов др веба и касперского - ничего не подошло !!!
Заблокировано почти все .
AVPTool, CureIt, AVZ - не работают. (выключает комп или зависает при попытке просто зайти в папку с ними)
Hijack запустился, но во время сканирования комп выключился, лог никакой не сохранился.
Сейчас пишу с другой системы,установленной на другой жёсткий диск
ХЕЛП !!!
Последний раз редактировалось vas2009; 21.05.2010 в 17:49 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
53
вот, смог сделать лог Hijack
Вложения
Junior Member
Вес репутации
53
народ отзовитесь!!
диспетчер задач не открывается,
всё вылетает и виснет
как избавиться от этой хрени???
Скачивайте образ Live CD, в котором есть возможность работать с реестром. Например, ERD Commander
Потом получите дальнейшие инструкции
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
скачал ERD Commander.
Жду дальнейших инструкций
1. Загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр Содержимое этого параметра в своем сообщении напишите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
всё сделал ,как было выше сказано.
Вот содержимое AppInit_DLLs: C:\WINDOWS\system32\dllcache\modern.fon:m44IGGCFbY DzYrAG54Rd
Выполните с LiveCD:
1. Переименуйте этот файл
2. Очистите значение параметра AppInit_DLLs
3. Перезагрузитесь
Если баннер пропал, выполняйте правила + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Всё сделал,перезагрузился.
Рекламный баннер пропал,но диспетчер задач всё ещё блокируется,
зато AVZ заработал.
скидываю логи
Отключить восстановление системы, защитное ПО.
Профиксить:
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe kjgk.sko ibawtl
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\fftma.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\appdrv01.sys','');
QuarantineFile('c:\windows\system32\mam3pan.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svhost');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке.
Код:
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
БАЗЫ ОБНОВИТЬ. Логи переделать.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svhost');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\fftma.dll');
DeleteFileMask('C:\Program Files\Common Files\Target Marketing Agency', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\Target Marketing Agency');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(6);
ExecuteREpair(11);
ExecuteREpair(16);
ExecuteREpair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи и
Сообщение от
thyrex
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Выслал карантин полученный вчера !
Сегодня кстати, всё вроде работает нормально
и диспетчер задач и реестр могу вызвать.
Антивирус снова работать начал (др веб)
Высылаю новые логи с AVZ и HijackThis
Вы читать умеете? Зрение не подводит?
Где
Сообщение от
thyrex
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
=)) извиняюсь за невнимательность
вот лог ComboFix
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\wgnjsmmw.dll
c:\windows\system32\vpljneta.dll
c:\windows\system32\kcakjdohk.dll
c:\windows\system32\nwr.dll
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.
Удалите ComboFix
Выписываем из клиники
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
53
Письмо отправил !
проверьте почту
Спасибо за помощь!
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения обнаружены вредоносные программы:
c:\program files\common files\target marketing agency\tmagent\extension\components\fftma.dll - not-a-virus:AdWare.Win32.Agent.llv ( BitDefender: Gen:Adware.Heur.gu8@Rqd3QMbc, NOD32: Win32/Adware.TMAagent application, AVAST4: Win32:Adware-gen [Adw] )