-
Junior Member
- Вес репутации
- 51
Баннер на номер 3381
На рабочем столе появился порно-баннер, предлагает отправить смс на номер 3381 с кодом N110081774833. Восстановление системы, диспетчер задач, браузеры, антивирусы не работают. Запустить AVZ могу только под LiveCD. Проблема еще и в том, что встроенный в LiveCD ERD Commander не открывает точки восстановления. Очень надеюсь на вашу помощь.
Добавлено через 2 минуты
Проверял AVZ, д-р Вебом - сам вирус не находит.
Последний раз редактировалось Ftpmail; 24.05.2010 в 13:50.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
с помощью ERD Commander посмотрите в реестре:
ветка
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
AppInit_DLLs
Содержимое этого параметра в своем сообщении напишите
-
-
Junior Member
- Вес репутации
- 51
Посмотрел даже просто regedit (под Лайвом так и работаю) - там пустое значение.
-
При запуске с ERD Commander нужно делать так Пуск - Выполнить - erdregedit
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
thyrex, как ни странно, он мне ничего не показывает.
Добавлено через 1 час 5 минут
Есть предположение,что непосредственно сам баннер появляется при запуске браузера - при этом он виснет (ФФ) и отключить что-то в его настройках не удается. При заходев папку с AVZ тут же следует перезагрузка. Проверил несколькими антивирусами - ничего не видят.
Последний раз редактировалось Ftpmail; 24.05.2010 в 16:30.
Причина: Добавлено
-
Похоже новая модификация блокера. Попробуйте поискать из-под LiveCD файл systems.exe, проверить ключи автозапуска в реестре
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
thyrex, какие именно ключи/как проверять?
-
Сообщение от
Ftpmail
какие именно ключи/как проверять?
Run
Искать поиском в реестре
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
thyrex, нашел systems.exe только как параметр в реестре для ИЕ, значение удалил. Самого такого файла нет. Искал по Run, честно говоря, не зная что, сложно найти.
-
Поищите этот же файл в Documents and Settings\All Users и переименуйте. Попробуйте загрузиться нормальным образом и выполнить правила
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
thyrex, в Documents and Settings\All Users нет ничего. Есть лог от HijackThis, но не могу гарантировать его полноту: система вылетает, показывая обоину рабочего стола и все (непосредственно перезагрузка не происходит). Что касается содержимого hosts, то перенаправления на рутрекер писал я, тут порядок.
AVZ из-под LiveCD не нужен, правильно? Никак иначе он у меня не запускается.
Надеюсь, что хотя бы один этот лог поможет.
-
- найдите файл- C:\WINDOWS.0\system32\mz.dll - переименуйте его, пришлите его запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
- профиксите в HJ
F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WIN DOWS.0\system32\8a0b455c.exe,\\?\globalroot\system root\system32\0BjV92i.exe,
O20 - AppInit_DLLs: C:\WINDOWS.0\system32\mz.dll
Добавлено через 55 секунд
после попробуйте сделать логи AVZ
Последний раз редактировалось polword; 24.05.2010 в 22:27.
Причина: Добавлено
-
-
Сообщение от
polword
найдите файл- C:\WINDOWS.0\system32\mz.dll
Искать и переименовывать нужно с LiveCD
AppInit_DLLs: C:\WINDOWS.0\system32\mz.dll
Значит плохого искали в реестре. Или искали не в реестре системы на компьютере
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
polword, thyrex, файл переименовал и выслал (пока его не удалял, нужно ведь удалить?). Нормально заработал ФФ (собственно, это сообщение уже пишу с зараженного компьютера). С помощью gmer посмотрел в реестре (обычная загрузка, не LiveCD) ключ - пустой. Может, неправильно что-то делаю? Диспетчер задач, восстановление системы, regedit по-прежнему не работают. Правда, теперь стало появляться сообщение "... отключено администратором системы". Раньше просто никакой реакции не было. Высылаю все логи, жду дальнейших инструкций.
Последний раз редактировалось Ftpmail; 06.06.2011 в 01:18.
-
Junior Member
- Вес репутации
- 51
Да, еще восстановилась нормальная работа мультимедиа файлов.
Еще такой вопрос: у меня в системе был ехе-шник coqgor - в автозапуске, в скрытых (как только делаешь отображение скрытых файлов, появлялся баннер). Я его сразу удалил, но он до сих пор есть в msconfig в списке автозагрузки (в "Расположении" SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - но там ничего нет).
Добавлено через 31 минуту
Заработал gpedit, я разблокировал диспетчер задач, вероятно, будет доступно восстановление системы (нужно его делать теперь?). Жду советов, как восстановить окончательно функционирование (например, не работает установленный антивирус), возможно, в AVZ выполнить какие-то пункты из "Восстановления"?
Последний раз редактировалось Ftpmail; 25.05.2010 в 16:39.
Причина: Добавлено
-
- virusinfo_cure.zip - удалите из темы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
polword, все сделал, единственное, в памяти есть системные процессы антивируса (надеюсь, это не проблема?). Переименованный mz.dll я удаляю?
По рекомендации thyrex добавляю еще и лог ComboFix.
Последний раз редактировалось Ftpmail; 25.05.2010 в 21:08.
-
Пришлите Ту dll запакованной в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
Добавлено через 53 секунды
Сообщение от
Ftpmail
По рекомендации thyrex добавляю еще и лог ComboFix.
не вижу его что-то....
Последний раз редактировалось polword; 25.05.2010 в 20:40.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 51
polword, поправил предыдущее сообщение. А dll я уже высылал:
Ошибка загрузки. Данный файл уже был загружен
Называется "quarantine_mz"