Показано с 1 по 18 из 18.

Информер от brazzers.com (заявка № 80258)

  1. #1
    Junior Member Репутация
    Регистрация
    23.12.2009
    Адрес
    Рязанская область
    Сообщений
    109
    Вес репутации
    26

    Thumbs up Информер от brazzers.com

    Здравствуйте. На рабочем столе стоит информер-вымогатель 4612502 на номер 5121. Загрузиться в безопасном режиме не возможно, диспетчер задач блокирован, проверка DrWb LaveCD ничего не дала. AVZ запускается, но ничего выполнить в нем нельзя. Не могли бы вы посоветовать с чего начать.

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    По этой инструкции http://virusinfo.info/showthread.php?t=51777 проверьте содержимое параметра shell. Оно должно быть explorer.exe и ничего более
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    23.12.2009
    Адрес
    Рязанская область
    Сообщений
    109
    Вес репутации
    26
    Сделал логи. Посмотрите пожалуйста.
    Последний раз редактировалось OlegMal; 29.06.2010 в 23:15.

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Что-нибудь пришлось в реестре исправлять?

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
     QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
     QuarantineFile('C:\WINDOWS\ccqowk.tmp','');
     DeleteFile('C:\WINDOWS\ccqowk.tmp');
     DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager');
     DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
    RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\WINDOWS\system32\vksaver.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Кроме блокера, у Вас еще и вор паролей. Смените все пароли

    Сделайте новые логи (попробуйте обычный AVZ с обновленными базами) + лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    23.12.2009
    Адрес
    Рязанская область
    Сообщений
    109
    Вес репутации
    26
    Да, в реестре правил параметр shell. Запрошенные логи прилагаю. Карантин выслал.
    Последний раз редактировалось OlegMal; 29.06.2010 в 23:15.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Цитата Сообщение от OlegMal Посмотреть сообщение
    Да, в реестре правил параметр shell
    Что было приписано. Это важно и тоже требует карантина и удаления

    При создании лога gmer никаких лишних меток не снимали? С Registry, например?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    23.12.2009
    Адрес
    Рязанская область
    Сообщений
    109
    Вес репутации
    26
    Помимо Explorer.exe была еще строка C\Program files\TotalComander\.....\total.exe , что то тип этого, ну лоханулся я и не скопировал Меток в gmere я не снимал, но при запуске он мне выдал окно "" Warning!GWER has found system modification, which might have been by ROOTKIT AKTIVITY. dOU YOU TO FULLY SCAN YOUR SYSTEM?"" и вбыл выделен красным файл system32\drivers\SKYNET cpxuwqpm.sys (***hidden***) Я нажал нет. Может надо было продолжить?

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Цитата Сообщение от OlegMal Посмотреть сообщение
    Может надо было продолжить?
    Конечно. Нажать Нет, а потом Scan и выполнить полную проверку

    Скорее был такой путь C:\Program files\Common Files\TotalComander\total.exe. Сам файл не удаляли, надеюсь?

    Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    23.12.2009
    Адрес
    Рязанская область
    Сообщений
    109
    Вес репутации
    26
    Файлы не удалял. Логи прилагаю
    Последний раз редактировалось OlegMal; 29.06.2010 в 23:15.

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Поищите папку, в которой есть файл times.txt и укажите полный путь к нему

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
    Код:
    gmer.exe -del service SKYNETsswqqhbl
    gmer.exe -del file "c:\windows\system32\drivers\SKYNETcpxuwqpm.sys"
    gmer.exe -del file "c:\windows\system32\SKYNETfoboieli.dll"
    gmer.exe -del file "c:\windows\system32\SKYNETrfquftit.dat"
    gmer.exe -del file "c:\windows\system32\SKYNETevpnmdbs.dll"
    gmer.exe -del file "c:\windows\system32\SKYNETikewondv.dat"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETsswqqhbl"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\SKYNETsswqqhbl"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\SKYNETsswqqhbl"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\SKYNETsswqqhbl"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETsswqqhbl"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\SKYNETsswqqhbl"
    gmer.exe -reboot
    И запустите cleanup.bat.
    Компьютер перезагрузится!

    Сделать новый лог gmer.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    23.12.2009
    Адрес
    Рязанская область
    Сообщений
    109
    Вес репутации
    26
    thyrex, путь к папке times.txt здесь выложить или мне его надо где-то прописать?

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Выложить здесь. Только times.txt - это файл, а не папка
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    23.12.2009
    Адрес
    Рязанская область
    Сообщений
    109
    Вес репутации
    26
    Запрошенный файл не нашел. Лог прилагаю.
    Последний раз редактировалось OlegMal; 29.06.2010 в 23:15.

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    На кнопку Scan снова забыли нажать?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    23.12.2009
    Адрес
    Рязанская область
    Сообщений
    109
    Вес репутации
    26
    Scan я нажимал, высылаю повторный лог, сделал сейчас.
    Последний раз редактировалось OlegMal; 29.06.2010 в 23:15.

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Чисто

    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    23.12.2009
    Адрес
    Рязанская область
    Сообщений
    109
    Вес репутации
    26
    thyrex, Спасибо за помощь, все работает без тормозов. Сын остался доволен. Тему можно закрывать.
    Последний раз редактировалось OlegMal; 08.06.2010 в 22:04.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,529
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) OlegMal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Информер
      От IvanR в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 24.05.2010, 06:51
    2. Информер
      От may_be11 в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.05.2010, 21:24
    3. Информер с СМС
      От Vlupidol в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.12.2009, 11:02
    4. Информер
      От Geser в разделе Информационные сообщения
      Ответов: 19
      Последнее сообщение: 12.08.2009, 22:36
    5. Информер
      От artembl4 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.02.2009, 13:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01530 seconds with 20 queries