Показано с 1 по 11 из 11.

Рекламный модуль (пополните счет) (заявка № 91492)

  1. #1
    Junior Member Репутация
    Регистрация
    14.01.2010
    Адрес
    Моршанск
    Сообщений
    25
    Вес репутации
    26

    Рекламный модуль (пополните счет)

    добрый день, извините если что не так, зараженный комп находится удаленно, поэтому даю что нарыл.

    Собственно: рекламный модуль, по описанию очень похож на trojan.winlock.2430 (данные с онлайн разблокировщика drweb) ток номер другой.разблокировщики не помогают.

    Live CD drweb ничего не нашёл

    безопасный режим не пашет.
    передал юзверу диск,заставил там загрузиться erd в реестре в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon userinit- - - C:\WINDOWS\system32\userinit.exe,
    shell - - - Explorer.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs - - - пусто

    подскажите пожайлуста, заранее благодарен.

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    14.01.2010
    Адрес
    Моршанск
    Сообщений
    25
    Вес репутации
    26
    В продолжении темы: прогнал plstfix, система запустилась но сам модуль что-то не нашел. ну подозрения есть но не уверен. выкладываю логи avz и HijackThis. помогите обнаружить засранца и обезглавить.
    Последний раз редактировалось Vovan_Gor; 12.11.2010 в 08:35.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\WINDOWS\system32\usrinit.exe','');
     QuarantineFile('c:\Temp\yhsr.exe','');
     QuarantineFile('C:\WINDOWS\system32\055.tmp','');
     DeleteService('tkspeb');
     DeleteFile('C:\WINDOWS\system32\055.tmp');
     DeleteFile('C:\WINDOWS\system32\usrinit.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте лог Gmer

  5. #4
    Junior Member Репутация
    Регистрация
    14.01.2010
    Адрес
    Моршанск
    Сообщений
    25
    Вес репутации
    26
    логи и карантин
    Последний раз редактировалось Vovan_Gor; 12.11.2010 в 14:26.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - quarantine.zip - удалите из темы

    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    Добавлено через 1 минуту

    - Сохраните текст ниже как 1.bat в ту же папку, где находится op2yjf1r.exe (GMER) и запустите этот батник(1.bat):
    Код:
    op2yjf1r.exe -del service eenje
    op2yjf1r.exe -del file "C:\WINDOWS\system32\qnrxn.dll"
    op2yjf1r.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\eenje"
    op2yjf1r.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\eenje"
    op2yjf1r.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторный лог virusinfo_syscheck.zip
    Последний раз редактировалось polword; 12.11.2010 в 13:16. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    14.01.2010
    Адрес
    Моршанск
    Сообщений
    25
    Вес репутации
    26
    вот
    но перед перезагрузкой написал что парамтры заданы не верно

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - выполните такой скрипт
    Код:
    begin
      DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      QuarantineFile('F:\autorun.inf','');
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    -

  9. #8
    Junior Member Репутация
    Регистрация
    14.01.2010
    Адрес
    Моршанск
    Сообщений
    25
    Вес репутации
    26
    теперь до понедельника)))

  10. #9
    Junior Member Репутация
    Регистрация
    14.01.2010
    Адрес
    Моршанск
    Сообщений
    25
    Вес репутации
    26
    sorry но оно недает мне ничего загрузить. ругается: данный файл был уже загружен(

    мож я чё торможу? но.....

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    F:\autorun.inf - вам знаком?
    Если нет, то
    Код:
    begin
    clearquarantine;
      QuarantineFile('F:\autorun.inf','');
      deletefile('F:\autorun.inf');
    end.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,517
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\usrinit.exe - Trojan-Ransom.Win32.FSWarning.bh ( DrWEB: Trojan.MulDrop3.25044, BitDefender: Trojan.Generic.KDV.62930, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Vovan_Gor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Рекламный модуль
      От SkyThunder в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.01.2011, 15:40
    2. Рекламный модуль
      От Denis79 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.12.2010, 17:46
    3. Рекламный модуль :(
      От Parker26 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.06.2010, 12:07
    4. рекламный модуль
      От somon в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.11.2009, 11:48
    5. рекламный модуль
      От Trigg в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.11.2009, 07:09

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00567 seconds with 21 queries