Здравствуйте. Проблема следующая, выскакивает баннер при попытке запустить любое приложение с просьбой отправить смс на номер 3381. Делал все из под LiveCD т.к. в безопасном режиме при запуске AVZ компьютер выключался.
Здравствуйте. Проблема следующая, выскакивает баннер при попытке запустить любое приложение с просьбой отправить смс на номер 3381. Делал все из под LiveCD т.к. в безопасном режиме при запуске AVZ компьютер выключался.
Последний раз редактировалось AndreyKa; 03.06.2010 в 14:45. Причина: логи с загрузочного CD бесполезны
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
параметрКод:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Содержимое этого параметра напишите в своем сообщенииКод:AppInit_DLLs
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
C:\WINDOWS\Cursors\aero_move_x.curJHPTL8ghw8c21meV6MT
1. Загрузитесь с ERD Commander
2. Переименуйте указанный Вами файл
3. Очистите значение параметра AppInit_DLLs
4. Загружайтесь в обычном режиме и делайте логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
баннер больше не появлялся, а вот диспетчер задач и реестр так и не работают.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\107.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\1050995.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\0009.exe',''); QuarantineFile('C:\Documents and Settings\Инна\Local Settings\Temporary Internet Files\Content.IE5\UBCJE7I1\fwemlom[1].exe',''); QuarantineFile('C:\Documents and Settings\Инна\Local Settings\Temp\921.exe',''); QuarantineFile('C:\WINDOWS\system32\yytkkfww.exe',''); QuarantineFile('C:\WINDOWS\system32\xyzz2fgb.exe',''); QuarantineFile('C:\WINDOWS\system32\wriiduup.exe',''); QuarantineFile('C:\WINDOWS\system32\wrhidtu6.exe',''); QuarantineFile('C:\WINDOWS\system32\t0zvqq6cc.exe',''); QuarantineFile('C:\WINDOWS\system32\snnjzzv67.exe',''); QuarantineFile('C:\WINDOWS\system32\s6i81ufgb.exe',''); QuarantineFile('C:\WINDOWS\system32\pq70rnii6u.exe',''); QuarantineFile('C:\WINDOWS\system32\pkk6ww6ii.exe',''); QuarantineFile('C:\WINDOWS\system32\ntop970brx.exe',''); QuarantineFile('C:\WINDOWS\system32\m6yy6kk6.exe',''); QuarantineFile('C:\WINDOWS\system32\k1gccxoo.exe',''); QuarantineFile('C:\WINDOWS\system32\jupq0mrcnj.exe',''); QuarantineFile('C:\WINDOWS\system32\e1awwrii.exe',''); QuarantineFile('C:\WINDOWS\system32\bxnnjzzvll.exe',''); QuarantineFile('C:\WINDOWS\system32\bb66s81epqr.exe',''); QuarantineFile('C:\WINDOWS\system32\15tuklq.exe',''); QuarantineFile('C:\WINDOWS\system32\2k5fbwx.exe',''); QuarantineFile('C:\WINDOWS\system32\6ww6ii6.exe',''); QuarantineFile('C:\WINDOWS\system32\703i1pk.exe',''); QuarantineFile('C:\WINDOWS\system32\0fbww6i.exe',''); QuarantineFile('C:\Documents and Settings\Инна\Application Data\Microsoft\tyga.exe',''); QuarantineFile('C:\Documents and Settings\Инна\Application Data\Microsoft\toverel.exe',''); DeleteService('xixhqyfxqsva'); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\kwscjucaxv.sys',''); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\gwckoxzv.sys',''); DeleteService('qpzfcsocatsmpz'); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\ehgacfkdl.sys',''); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\wxukygx.sys',''); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\fnrykyd.sys',''); DeleteService('nkxuhnmifuby'); DeleteService('ncfkctobxkqyedn'); DeleteService('mslmzyrffpimlr'); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\tybearziz.sys',''); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\qqmjqkixdyvr.sys',''); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\cyjbydabr.sys',''); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\zsbfrhzgwsrk.sys',''); DeleteService('kvafenpnlf'); DeleteService('kkkzpiev'); DeleteService('jltphgfnrfukai'); DeleteService('ivbituee'); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\rvcgpfhzgds.sys',''); DeleteService('ftnvjaske'); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\yzmntbto.sys',''); DeleteService('alpddwjobo'); DeleteService('v8dodafye5291i'); QuarantineFile('C:\Documents and Settings\Инна\Application Data\Microsoft\noojoo.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); DeleteFile('C:\Documents and Settings\Инна\Application Data\Microsoft\noojoo.exe'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\yzmntbto.sys'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\rvcgpfhzgds.sys'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\zsbfrhzgwsrk.sys'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\cyjbydabr.sys'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\tybearziz.sys'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\fnrykyd.sys'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\wxukygx.sys'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\ehgacfkdl.sys'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\gwckoxzv.sys'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\kwscjucaxv.sys'); DeleteFile('C:\Documents and Settings\Инна\Application Data\Microsoft\toverel.exe'); DeleteFile('C:\Documents and Settings\Инна\Application Data\Microsoft\tyga.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jurypuz'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sivola'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','jurypuz'); DeleteFile('C:\WINDOWS\system32\0fbww6i.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uupggbs'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nijok6b'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tuk1a'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vmmhyyt'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lbcxno'); DeleteFile('C:\WINDOWS\system32\703i1pk.exe'); DeleteFile('C:\WINDOWS\system32\6ww6ii6.exe'); DeleteFile('C:\WINDOWS\system32\2k5fbwx.exe'); DeleteFile('C:\WINDOWS\system32\15tuklq.exe'); DeleteFile('C:\WINDOWS\system32\bb66s81epqr.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mstzjf'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hyytkkf'); DeleteFile('C:\WINDOWS\system32\bxnnjzzvll.exe'); DeleteFile('C:\WINDOWS\system32\e1awwrii.exe'); DeleteFile('C:\WINDOWS\system32\jupq0mrcnj.exe'); DeleteFile('C:\WINDOWS\system32\k1gccxoo.exe'); DeleteFile('C:\WINDOWS\system32\m6yy6kk6.exe'); DeleteFile('C:\WINDOWS\system32\ntop970brx.exe'); DeleteFile('C:\WINDOWS\system32\pkk6ww6ii.exe'); DeleteFile('C:\WINDOWS\system32\pq70rnii6u.exe'); DeleteFile('C:\WINDOWS\system32\s6i81ufgb.exe'); DeleteFile('C:\WINDOWS\system32\snnjzzv67.exe'); DeleteFile('C:\WINDOWS\system32\t0zvqq6cc.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uupggb'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','inyop'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iyopf7'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','abwssn'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uvqmmhy'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dozklb7'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xydzu'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bwxsoo'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fgbchd'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vvgrcx'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pqvrm'); DeleteFile('C:\WINDOWS\system32\wrhidtu6.exe'); DeleteFile('C:\WINDOWS\system32\wriiduup.exe'); DeleteFile('C:\WINDOWS\system32\xyzz2fgb.exe'); DeleteFile('C:\WINDOWS\system32\yytkkfww.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nnjzzv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xsjzzpv'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gcss6'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bbmxy'); DeleteFile('C:\Documents and Settings\Инна\Local Settings\Temp\921.exe'); DeleteFile('C:\Documents and Settings\Инна\Local Settings\Temporary Internet Files\Content.IE5\UBCJE7I1\fwemlom[1].exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\0009.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\1050995.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\107.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1275210071-854245398-1801674531-500\Dc4\Temp\1129117.exe'); DeleteFileMask('C:\Documents and Settings\Инна\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); DeleteFile('D:\autorun.inf'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteRepair(17); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
выполнил
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\qqmjqkixdyvr.sys',''); DeleteService('jltphgfnrfukai'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\qqmjqkixdyvr.sys'); QuarantineFile('D:\AutoRun.exe',''); QuarantineFile('D:\ARE\RUNNING\oF.exe',''); QuarantineFile('I:\ARE\RUNNING\oF.exe',''); QuarantineFile('C:\WINDOWS\system32\SfcFiles.dll',''); QuarantineFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\cvyfwmvxxipxh.sys',''); DeleteService('zuahduou'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\cvyfwmvxxipxh.sys'); QuarantineFile('C:\WINDOWS\system32\drivers\ao6dz3bm.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи virusinfo_syscheck.zip; log.txt и info.txt.
Добавлено через 45 секунд
D, I -это флешки? Если да, то скрипт сделать с ними
Последний раз редактировалось polword; 04.06.2010 в 12:33. Причина: Добавлено
архив quarantine получился пустым он не отправляется пишет "Ошибка загрузки. Данный файл уже был загружен"
D это флешк, I в системе такого диска нет.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\system32\drivers\ao0dcrog.sys'); DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\cvyfwmvxxipxh.sys'); DeleteService('zuahduou'); DeleteService('ao0dcrog'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('zuahduou'); BC_DeleteSvc('ao0dcrog'); BC_DeleteFile('C:\DOCUME~1\E4FC~1\LOCALS~1\Temp\cvyfwmvxxipxh.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ao0dcrog.sys'); BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог log.txt
готово.
не вижу подозрительного.
Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
Большое спасибо! все работает.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 91
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\инна\local settings\temporary internet files\content.ie5\ubcje7i1\fwemlom[1].exe - Trojan.Win32.Ddox.mq ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4123341, AVAST4: Win32:Malware-gen )
- c:\documents and settings\инна\local settings\temp\921.exe - Trojan.Win32.Ddox.mq ( DrWEB: BackDoor.Siggen.14353, BitDefender: Trojan.Generic.4123341, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-1275210071-854245398-1801674531-500\dc4\temp\0009.exe - Trojan-Dropper.Win32.Agent.cduy ( DrWEB: Trojan.Inject.8777, BitDefender: Gen:Variant.Zbot.11, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-1275210071-854245398-1801674531-500\dc4\temp\1050995.exe - Trojan-Dropper.Win32.Agent.cduy ( DrWEB: Trojan.Inject.8777, BitDefender: Gen:Variant.Zbot.11, AVAST4: Win32:Malware-gen )
Уважаемый(ая) DonKlayh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.