Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Я опять подцепил какую-то зловредную мыловарку( (заявка № 89435)

  1. #1
    Junior Member Репутация
    Регистрация
    03.09.2010
    Сообщений
    69
    Вес репутации
    50

    Exclamation Я опять подцепил какую-то зловредную мыловарку(

    На безобидном с виду форуме по stalker... Всплыло незакрываемое ОК-окошко о том, что я выиграл миллион...
    На выходе: блокированы FF, RSIT, AVZ, Combofix в какой-то момент тоже убит. При загрузке пусковая панель виснет минут двадцать, потом все ок.
    Сделал логи, до каких дотянулся...

    Помогите, товарищи!

    И посоветуйте, как от таких окошек обороняться - их просто вал какой-то(((
    Последний раз редактировалось alpauk; 07.10.2010 в 11:59.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    03.09.2010
    Сообщений
    69
    Вес репутации
    50
    вот еще касперский лог.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - virusinfo_cure.zip - удалите из темы

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!!
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
      QuarantineFile('C:\windows\system32\ljnuhx.exe','');
     QuarantineFile('C:\windows\system32\c044dab0.exe','');
     DeleteService('StarWindServiceAE');
     DeleteFile('StarWindServiceAE.sys');
     DeleteFile('C:\windows\system32\c044dab0.exe');
     DeleteFile('C:\windows\system32\ljnuhx.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

  5. #4
    Junior Member Репутация
    Регистрация
    03.09.2010
    Сообщений
    69
    Вес репутации
    50
    Цитата Сообщение от polword Посмотреть сообщение
    - virusinfo_cure.zip - удалите из темы

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    я так понимаю, что делать это придется в safe mode, а то и из-под ERD, как иначе запустить AVZ?

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Выполните скрипт в avptool

  7. #6
    Junior Member Репутация
    Регистрация
    03.09.2010
    Сообщений
    69
    Вес репутации
    50
    Цитата Сообщение от Olejah Посмотреть сообщение
    Выполните скрипт в avptool
    вот с ним непонятно, после установки в папке есть какой-то никуда не ведущий ярлык, никакого приложения, которое бы имело хоть какой-нибудь оконный интерфейс. И уже не первый раз ставлю...

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    А как был снят "касперский лог"?

  9. #8
    Junior Member Репутация
    Регистрация
    03.09.2010
    Сообщений
    69
    Вес репутации
    50
    Цитата Сообщение от Olejah Посмотреть сообщение
    А как был снят "касперский лог"?
    есть там файл, log.bat, кажется. или что-то в этом духе.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполняйте предложенный выше скрипт в безопасном режиме
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    03.09.2010
    Сообщений
    69
    Вес репутации
    50
    Цитата Сообщение от polword Посмотреть сообщение
    - virusinfo_cure.zip - удалите из темы

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!!
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
      QuarantineFile('C:\windows\system32\ljnuhx.exe','');
     QuarantineFile('C:\windows\system32\c044dab0.exe','');
     DeleteService('StarWindServiceAE');
     DeleteFile('StarWindServiceAE.sys');
     DeleteFile('C:\windows\system32\c044dab0.exe');
     DeleteFile('C:\windows\system32\ljnuhx.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
    Загрузил карантин, логи AVZ, а Hijack не запускается( сделать удалось только из-под ERD

  12. #11
    Junior Member Репутация
    Регистрация
    03.09.2010
    Сообщений
    69
    Вес репутации
    50
    После перезагрузки сам собой запустился AVPRemoval, я не стал отказываться, вот его лог. ФФ тоже заработал, пишу уже с этого компа...

  13. #12
    Junior Member Репутация
    Регистрация
    03.09.2010
    Сообщений
    69
    Вес репутации
    50
    вот еще некоторые программы стали запускаться)))

  14. #13
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Очень интересно, в логах АВЗ система установлена на диск X:\, а в логе avptool на диск C:\ и по содержанию логи абсолютно разные и разные в них звери. Прокомментируйте, по каким логам мне скрипт писать?

  15. #14
    Junior Member Репутация
    Регистрация
    03.09.2010
    Сообщений
    69
    Вес репутации
    50
    Цитата Сообщение от Olejah Посмотреть сообщение
    Очень интересно, в логах АВЗ система установлена на диск X:\, а в логе avptool на диск C:\ и по содержанию логи абсолютно разные и разные в них звери. Прокомментируйте, по каким логам мне скрипт писать?
    X - насколько я понял, это сидюк с ERD, из-под которого я запускал добрые программы) иначе они не работали. а avp завелся с системного диска.

  16. #15
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в avptool -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\windows\system32\ljnuhx.exe','');
     QuarantineFile('C:\windows\system32\c044dab0.exe','');
     DeleteFile('C:\windows\system32\c044dab0.exe');
     DeleteFile('C:\windows\system32\ljnuhx.exe');             
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive('C:\quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip, из корня диска С, по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Сделайте новый лог

  17. #16
    Junior Member Репутация
    Регистрация
    03.09.2010
    Сообщений
    69
    Вес репутации
    50
    Цитата Сообщение от Olejah Посмотреть сообщение
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в avptool -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\windows\system32\ljnuhx.exe','');
     QuarantineFile('C:\windows\system32\c044dab0.exe','');
     DeleteFile('C:\windows\system32\c044dab0.exe');
     DeleteFile('C:\windows\system32\ljnuhx.exe');             
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive('C:\quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip, из корня диска С, по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Сделайте новый лог

    Прислал карантин и логи вот.

  18. #17
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Теперь плохого не вижу, что с проблемой?

  19. #18
    Junior Member Репутация
    Регистрация
    03.09.2010
    Сообщений
    69
    Вес репутации
    50
    При загрузке рабочего стола выскакивает окно с вот " 忠 " таким сообщением и ОК. Затем загружается рабстол, при этом пусковая панель виснет на 10-15 минут, да так, что не переключается даже раскладка клавиатуры. При этом проводник тоже зависает. ФФ начинает как обычно, потом тоже виснет. Минут через 10-15 из трея выскакивает сообщение об отключенном автообдателе и том, что надо его включить. Затем все работает как надо...

    Добавлено через 2 минуты

    О! я впечатлен))) http://bkrs.info/slovo.php?ch=%E6%82%A3
    患 - ХУАНЬ, 1) болеть, страдать; мучиться
    患痢疾 страдать поносом
    患眼 страдать глазами
    患贫 страдать от бедности
    2) быть озабоченным, беспокоиться; огорчаться; горевать; сожалеть; опасаться
    Последний раз редактировалось alpauk; 10.10.2010 в 22:31. Причина: Добавлено

  20. #19
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296

  21. #20
    Junior Member Репутация
    Регистрация
    03.09.2010
    Сообщений
    69
    Вес репутации
    50
    Цитата Сообщение от Olejah Посмотреть сообщение
    Вот, полный.

    То бишь, на его взгляд все чисто. Видимо, что-то помялось в самой системе... Это как-то возможно найти?

  • Уважаемый(ая) alpauk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подцепил какую-то гадость.
      От Xevus в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.10.2010, 01:07
    2. Ответов: 7
      Последнее сообщение: 04.05.2009, 17:52
    3. опять подцепил гадость какую-то
      От DihaZ в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:18
    4. Подцепил какую то гадость в сети
      От Brodsky в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 04:21
    5. Подцепил какую-то заразу...
      От Ovak в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.05.2008, 15:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00151 seconds with 19 queries