Junior Member
Вес репутации
54
пополнить счет абонента Билайн 8-964-371-15-68
Требует попполнить счет пополнить счет абонента Билайн 8-964-371-15-68 на 400 р. на выданном терминалом чеке вы найдете код разблокировки
Смена даты и загрузка в безопасном режиме не помогают. В систему зайти не могу чтобы выполнить необходимые тесты для получения логов
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Скачайте образ ERD Commander , запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Значения этих параметров напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Сообщение от
thyrex
1. Скачайте образ ERD Commander , запишите на болванку и загрузитесь с созданного диска
erd commander систему не увидел поэтму загрузился с другого live-CD
итак:
Код:
userinit C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\dc9ee5df.exe,C:\WINDOWS\system32\jovkkf.exe,
Код:
shell C:\DOCUME~1\1B8C~1\LOCALS~1\Temp\0.961984016975997.exe
в этой же ветке есть еще неизвестный ключ реестра
Код:
usrint C:\WINDOWS\system32\jovkkf.exe
Последний раз редактировалось click; 07.01.2011 в 14:37 .
Исправляйте на такое
Код:
userinit C:\WINDOWS\system32\userinit.exe,
shell explorer.exe
Перезагружайтесь и приступайте к выполнению правил
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Сообщение от
thyrex
Перезагружайтесь и приступайте к выполнению правил
Прошу прощения за то что так долго делал логи
Вложения
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: 78.36.173.137 srv02
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
2.Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile(' C:\DOCUME~1\1B8C~1\LOCALS~1\Temp\0.961984016975997.exe','');
QuarantineFile('C:\WINDOWS\system32\dc9ee5df.exe','');
QuarantineFile('C:\WINDOWS\system32\jovkkf.exe','');
DeleteFile(' C:\DOCUME~1\1B8C~1\LOCALS~1\Temp\0.961984016975997.exe');
DeleteFile('C:\WINDOWS\system32\jovkkf.exe');
DeleteFile('C:\WINDOWS\system32\dc9ee5df.exe');
QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
QuarantineFile('C:\Documents and Settings\Евгеня Петровна\Главное меню\Программы\Автозагрузка\chkntfs.exe','');
QuarantineFile('c:\windows\system\lsass.exe','');
DeleteFile('c:\windows\system\lsass.exe');
DeleteService('darkness');
DeleteFile('C:\Documents and Settings\Евгеня Петровна\Главное меню\Программы\Автозагрузка\chkntfs.exe');
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log )
Последний раз редактировалось polword; 07.01.2011 в 19:36 .
Junior Member
Вес репутации
54
Сообщение от
polword
1.
Профиксите в HijackThis
Сделайте повторные логи по
правилам п.1-3 раздела Диагностика.(
virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log )
Вот кажется все сделал
Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IM3ORRI1\vxs3oflpw7exd[2].htm');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IM3ORRI1\w22sdzdxym[1].htm');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IM3ORRI1\w22sdzdxym[2].htm');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\T34Q37H9\a9o63p1uf8[1].htm');
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
DeleteFileMask('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip ;
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Сообщение от
polword
Отключите Системное восстановление!!!
Отключил я его, служба остановлена и отключена, еще перед самыми первыми логами.
логи чуть позжее тк комп который лечил не у меня дома.
Junior Member
Вес репутации
54
Удалите в МВАМ
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DARKNESS (Trojan.Backdoor) -> No action taken.
Заражённые папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\documents and settings\евгеня петровна\application data\zfdxthholmt3yvaeemtallbqqquemlt2\csrss.exe (Spyware.Passwords) -> No action taken.
c:\documents and settings\евгеня петровна\local settings\temporary internet files\Content.IE5\S4ICFOOW\dontrun[1].exe (Spyware.Passwords) -> No action taken.
c:\WINDOWS\pss\chkntfs.exestartup (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\2'uѓ”лёєшлlѓ (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\2wpѓ”{iєђ{s‚ (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\2wvѓ”лћє`™_ѓ (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\hg (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\Hўўв°5V (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\@ (Backdoor.Bot) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\sview (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\winxrar.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\winxrarview.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\евгеня петровна\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
стойкий блокер попался, терь сменился номер и сумму уже поменьше требовает
Лог МВАМ после удаления где?
Никаких следов блокера в этих логах не видно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 18 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\евгеня петровна\\главное меню\\программы\\автозагрузка\\chkntfs.exe - Trojan.Win32.Oficla.awj ( DrWEB: Trojan.Packed.21143, BitDefender: Gen:Variant.Kazy.1666, AVAST4: Win32:Crypt-HTA [Trj] ) c:\\docume~1\\1b8c~1\\locals~1\\temp\\0.9619840169 75997.exe - Trojan-Ransom.Win32.Gimemo.kg ( DrWEB: Trojan.Winlock.2741, BitDefender: Gen:Heur.VIZ.2, NOD32: Win32/LockScreen.YL trojan, AVAST4: Win32:Malware-gen ) c:\\windows\\system\\lsass.exe - Trojan.Win32.Swisyn.alxe ( DrWEB: Trojan.DownLoader1.8764, BitDefender: Trojan.Generic.4884216, NOD32: Win32/Delf.PQK trojan, AVAST4: Win32:Malware-gen ) c:\\windows\\system32\\dc9ee5df.exe - Trojan.Win32.Pakes.oha ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] ) c:\\windows\\system32\\jovkkf.exe - Trojan.Win32.Pakes.ohb ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.4716631, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] ) c:\\windows\\system32\\rescue32.exe - Backdoor.Win32.IRCNite.blt ( DrWEB: Trojan.DownLoader1.29293, BitDefender: Gen:Variant.Kazy.1638, AVAST4: Win32:Zbot-MVW [Trj] )