-
Junior Member
- Вес репутации
- 51
Баннер информера на раб. столе
Поймал вирус, на рабочем столе висит баннер, блокирует всё кроме себя, требует смс. Безопасный режим не помогает. Нашёл к нему код, подошёл, баннер исчез, провёл проверку dr web cureit, были найдены и удалены несколько вирусов. Перезагрузил компьютер - баннер снова обнаружился, но на этот раз код найти не удалось. Этот, второй информер ссылается уже на другие смс и сайт, но выглядит примерно так же, тот же вирус походу.
Название - ass1st.com
номер - 8353
текст - 495623117(всегда после перезагрузки меняется)
Деблокер пишет что для данных номера и текста кода нет.
Диагностику предоставить не могу, заблокировано ж.
Последний раз редактировалось bam24; 06.07.2010 в 15:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Загрузитесь в безопасном режиме с поддержкой командной строки
2. Наберите в командной строке regedit, откроется реестр
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
Содержимое параметра напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Explorer.exe, C:\Program Files\Common Files\Microsoft Shared\mss oft.exe это?
Последний раз редактировалось bam24; 06.07.2010 в 15:29.
-
В параметре Shell должно быть значение Explorer.exe
Остальное удалите. Затем пробуйте сделать логи.
-
-
Junior Member
- Вес репутации
- 51
Логи сделать не могу, после перезагрузки баннер продолжает висеть и соответственно всё заблокированно, и параметр в shell возвращается каким был.
Добавлено через 34 минуты
А, вот удалось перезагрузиться с сохранением параметров, баннер исчез. Сейчас сделаю логи.
Последний раз редактировалось bam24; 07.07.2010 в 00:12.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 51
-
Файл C:\Program Files\Common Files\Microsoft Shared\mssoft.exe не удаляли?
Запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
После этого файл можно удалить
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\04jY9bo.exe,\\?\globalroot\systemroot\system32\gen23Mh.exe,\\?\globalroot\systemroot\system32\uwOqFiO.exe,
Обновите базы AVZ
Сделайте новые логи без работающего CureIt
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\04jY9bo.exe,\\?\globalroot\systemroot\system32\gen23Mh.exe,\\?\globalroot\systemroot\system32\uwOqFiO.exe,
Не понял что и как...
Сообщение от
thyrex
Обновите базы AVZ
Никак, выдаёт ошибку ( http://s006.radikal.ru/i215/1007/15/4c41865d3e64.jpg http://s50.radikal.ru/i128/1007/a3/8ec3162eb454.jpg )
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Скачайте
RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (
RSIT) в корне системного диска.
Во вложениях.
-
Сообщение от
bam24
Не понял что и как...
http://virusinfo.info/showthread.php?t=4491
Скачайте полиморфный AVZ (ссылка в моей подписи)
Выполните скрипт в полиморфном AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wIefgEy.exe','');
DeleteFile('C:\WINDOWS\system32\wIefgEy.exe');
QuarantineFile('C:\WINDOWS\system32\NDR0OmW.exe','');
DeleteFile('C:\WINDOWS\system32\NDR0OmW.exe');
QuarantineFile('C:\WINDOWS\system32\KGsEbYo.exe','');
DeleteFile('C:\WINDOWS\system32\KGsEbYo.exe');
QuarantineFile('C:\WINDOWS\system32\mgMTlyI.exe','');
DeleteFile('C:\WINDOWS\system32\mgMTlyI.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пробуйте обновить обычный AVZ
Сделайте новые логи + новые логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Пофиксил.
Скачал и выполнил, карантин выслал.
AVZ обновилось. Новые логи во вложениях.
-
Junior Member
- Вес репутации
- 51
О, сайт стал грузится, до этого было возможно зайти только через прокси...
Последний раз редактировалось bam24; 07.07.2010 в 16:40.
-
Чисто
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Adobe Acrobat 9.3 или удалите старый
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Еле скачал (на странице закачки браузеры вылетают с "неожиданной ошибкой и аварийным завершением работы"), начал устанавливать - и выдаёт некую "внутреннюю ошибку"... =\
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\kgsebyo.exe - Trojan.Win32.Jorik.Shiz.v ( DrWEB: Trojan.PWS.Ibank.53, BitDefender: Trojan.Generic.4532542, AVAST4: Win32:Malware-gen )
- c:\windows\system32\mgmtlyi.exe - Trojan.Win32.Jorik.Shiz.af ( DrWEB: Trojan.PWS.Ibank.53, AVAST4: Win32:Spyware-gen [Spy] )
- c:\windows\system32\ndr0omw.exe - Trojan.Win32.Jorik.Shiz.v ( DrWEB: Trojan.PWS.Ibank.53, BitDefender: Trojan.Generic.4532542, AVAST4: Win32:Malware-gen )
- c:\windows\system32\wiefgey.exe - Trojan.Win32.Jorik.Shiz.s ( DrWEB: Trojan.PWS.Ibank.53, BitDefender: Trojan.Generic.4472924, AVAST4: Win32:Malware-gen )
- \mssoft.exe - Trojan-Ransom.Win32.PinkBlocker.caq ( DrWEB: Trojan.Winlock.2108 )
-