-
Junior Member
- Вес репутации
- 54
Пронобанер с смс на 3381
Словил порно-банер, требующий отправит смс на 3381. Все усугубляется тем, что не запускается не FVZ не HiJackThis Диспетчер и реестр закрыт. Загрузился с LiveCD в реестре куст HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows с AppInit_DLLs является пустым!
Самое интресное, HiJack переименовал в 2.exe и запустил, там в настройках, игнорировать стоит именно параметр AppInit_DLLs и каждый раз с разными путями на файл. Попробовав отключить - комп вырубается.
Выдав лог, тоже уходит в ребут.
AVZ запустить не получается вообще
Последний раз редактировалось steel-prom; 30.06.2010 в 08:32.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Загрузился с LiveCD в реестре куст HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows с AppInit_DLLs является пустым!
---
Проверьте его еще раз.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
-
Перед просмотром именно загружаете куст с зараженной машины?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
PavelA
Перед просмотром именно загружаете куст с зараженной машины?
загрузил LiveCD, и как узнать что именно тот куст? команда regedit или другая?
-
http://virusinfo.info/showthread.php?t=72176 -- вот здесь все описано в картинках.
Если у Вас ERD LiveCD, то там есть erdregedit
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
нешел ветку, адулин два непонятных файла при загрузки, комп включился, AVZ запущен)))
-
делайте логи по правилам virusinfo_syscure.zip; virusinfo_syscheck.zip; hijackthis.log
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось steel-prom; 30.06.2010 в 08:32.
-
Junior Member
- Вес репутации
- 54
теперь в ветке AppInit_DLLs
C:\PROGRA~1\KASPER~1\KASPER~2.0FO\kloehk.dll,C:\PR OGRA~1\KASPER~1\KASPER~2.0FO\adialhk.dll
После того как заново переустановил Касперского
-
Это нормально, так и должно быть.
В логах плохого не видно. Для зачистки "хвостов" нужно сделать лог при помощи ComboFix.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
ComboFIX удалил пару файлов
прикрепляю лог
Последний раз редактировалось steel-prom; 30.06.2010 в 08:32.
-
Junior Member
- Вес репутации
- 54
думаю, что тему можно закрывать, все работает
Добавлено через 30 секунд
большое спасибо за помощь!!!
Последний раз редактировалось steel-prom; 26.05.2010 в 15:06.
Причина: Добавлено
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\ysoxxah.dll
Driver::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось steel-prom; 30.06.2010 в 08:32.
-
Деинсталлируйте ComboFix.
Поставьте обновления на систему и IE
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54