-
Junior Member
- Вес репутации
- 53
И снова рекламный модуль (отправь СМС....)
Здравствуйте!
Снова поймал троян ( тот что - рекламный модуль),опять порно банер,правда теперь другой.
Просит отправить 2 смс с текстом 1830381331605 на номер 3381.
Блокируется всё: диспетчер задач,рабочий стол,панель пуск + Загрузка ЦП 100%
Жду вашей помощи !!!
хелп
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этого параметра напишите в своем сообщении
Также проверьте с помощью ERD Commander значение параметра userinit в этой ветке реестра
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Напишите его значение в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
посмотрел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
appinit_Dlls - нету такого параметра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
С:\WINDOWS\system32\userinit.exe,
-
Сообщение от
vas2009
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
appinit_Dlls - нету такого параметра
Плохо смотрели. Пользовались ERD Commander?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Пользовался диском с ERD Commander.
Забыл ,что переименовал этот параметр, когда в прошлый раз боролся с трояном.
содержимое параметра пусто
Последний раз редактировалось vas2009; 09.06.2010 в 19:00.
-
Попробуйте проверить через Администрирование в ERD Commander
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
хм странно,записал пароли с предложенного вами сайта,перезагрузился чтобы попробовать их,а баннера и нет больше.Но загрузка ЦП 100%.Грузит систему - процесс svchost.exe.
щас сделаю логи и скину
-
Junior Member
- Вес репутации
- 53
комп жутко тормозит
вот логи которые смог сделать
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
QuarantineFile('C:\Documents and Settings\Я\Главное меню\Программы\Автозагрузка\sisxvy32.exe','');
QuarantineFile('C:\DOCUME~1\F240~1\LOCALS~1\Temp\~TM11.tmp','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
DeleteFile('C:\Documents and Settings\Я\Главное меню\Программы\Автозагрузка\sisxvy32.exe');
DeleteFile('C:\DOCUME~1\F240~1\LOCALS~1\Temp\~TM11.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log) в нормальном режиме сделайте
-
-
Junior Member
- Вес репутации
- 53
Всё выполнил,карантин выслал.
Что далее ???
-
Junior Member
- Вес репутации
- 53
И вот ещё,что хотел спосить:
При загрузке системы вылетает папка Adobe (C:\Program Files\Common Files\Adobe)
Не подскажите как убрать её?
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {1FD79A59-37B1-459B-9097-09F9FAB8A523} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\Drivers\dwprot.sys','');
QuarantineFile('C:\WINDOWS\system32\Mam3Pan.Exe','');
QuarantineFile('C:\Program Files\Common Files\Adobe Soft\myips.exe','');
DeleteFile('C:\Program Files\Common Files\Adobe Soft\myips.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
-
-
Junior Member
- Вес репутации
- 53
Скрипты выполнил,
карантин отправил,
новые логи сделал.
Папка adobe исчезла из загрузки,
комп вроде стал работать стабильно.
Ставьте диагноз =)
-
Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 53
Уязвимости не обнаружены.
Огромное спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\я\главное меню\программы\автозагрузка\sisxvy32.exe - Packed.Win32.Krap.ar ( DrWEB: Trojan.Botnetlog.126, AVAST4: Win32:MalOb-BH [Cryp] )
- c:\docume~1\f240~1\locals~1\temp\~tm11.tmp - Trojan-Ransom.Win32.PinkBlocker.bqx ( DrWEB: Trojan.Packed.20343, BitDefender: Gen:Variant.Bredo.3, AVAST4: Win32:Malware-gen )
-