Два! Порно банера подряд

Printable View

Показывать 40 сообщений этой темы на одной странице

18.05.2010, 13:15
Ниид хелп

Два! Порно банера подряд

История такова >
Появился порно банер просящий отослать смс с текстом 1011243 на номер 5121
к нему я подобрал код и он исчез,
но практически сразу выскочил новый баннер
просящий отослать текст М201017171 на номер 3381
к этому коды не подошли.
Мало того , не даёт запустить AVZ ни полиморфный ни обычный переименованный ни к каком режиме.
С LIveCD запускал AVZ и др антивирусники - вирусов не нашли .
А вот [B]hijackthis [/B]запустить удалось на заражённой системе .
Вот так , помогите в очередной раз пожалуйста ..
18.05.2010, 13:25
polword

Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
[/CODE]

перезагрузитесь

попробуйте [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
DeleteFile('C:\WINDOWS\system32\srnh.lto');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
18.05.2010, 13:42
Ниид хелп

Профиксил в HijackThis .
Перезагрузил.
AVZ не запускается и сразу комп выключается.
Проблемы остались те же ..Баннер с текстом М201017171 на номер 3381
В безопастном режиме тоже самое.

P.S> Могу скрипт выполнить в AVZ с Live CD . Но я так понял это го делать не надо ?
Могу попробовать вручную удалить файл по адресу C:\WINDOWS\system32\srnh.lto , надо ?
19.05.2010, 07:43
Ниид хелп

Водил коды собранные с этой ветки форума у кого тоже баннер с номером 3381-
не подходят..
Как только не переименовывал AVZ - не запускается ни в безопастном режиме
ни под другой учётной записью.

А ведь некоторым тут подбирали как то код под этот номер .
Может дадите ссылочку на алгоритм подбора - сам попробую подобрать ..
19.05.2010, 08:06
thyrex

[QUOTE='Ниид хелп;639063']P.S> Могу скрипт выполнить в AVZ с Live CD . Но я так понял это го делать не надо ?[/QUOTE]Нет, нужен другой подход

Ваш Live CD с возможностью просмотра и правки реестра?
19.05.2010, 08:17
Ниид хелп

[QUOTE=thyrex;639686]Нет, нужен другой подход

Ваш Live CD с возможностью просмотра и правки реестра?[/QUOTE]

Да, умею пользоваться .Всё готово для начала работы .( LIveCD загружен)
19.05.2010, 10:11
thyrex

Посмотрите в реестре:
[B]ветка[/B] [CODE]HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
[B]параметр[/B] [CODE]AppInit_DLLs[/CODE]

Содержимое этого параметра в своем сообщении напишите
19.05.2010, 10:18
Ниид хелп

AppInit_DLLs / тип: REG_SZ / значение : пусто ( ничего нет)
19.05.2010, 10:35
PavelA

Это параметры из загруженного куста?
19.05.2010, 10:38
thyrex

Попробуйте поискать упоминания в реестре файла [B]systems.exe[/B]

Также с помощью LiveCD посмотрите содержимое файла win.ini в папке system32 на предмет записей с подозрительными именами файлов
19.05.2010, 10:38
Ниид хелп

[QUOTE=PavelA;639752]Это параметры из загруженного куста?[/QUOTE]

Да, конечно
19.05.2010, 10:44
thyrex

Сообщение №10 посмотрите
19.05.2010, 10:48
Ниид хелп

[QUOTE=thyrex;639735]Посмотрите в реестре:
[B]ветка[/B] [CODE]HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
[B]параметр[/B] [CODE]AppInit_DLLs[/CODE]

Содержимое этого параметра в своем сообщении напишите[/QUOTE]

Прошу прощения я ошибся . Вот содержание из выгруженного куста

C:\WINDOWS\system32\nvcpl.chm:QRNluaM
19.05.2010, 10:49
PavelA

C:\WINDOWS\system32\nvcpl.chm:QRNluaM -- найдите и куда-нибудь скопируйте. В реестре этот ключ почистите.
19.05.2010, 11:12
Ниид хелп

[QUOTE=PavelA;639766]C:\WINDOWS\system32\nvcpl.chm:QRNluaM -- найдите и куда-нибудь скопируйте. В реестре этот ключ почистите.[/QUOTE]

Нашёл только два файла [B]nvcpl.chm [/B]( без QRNluaM)- скопировал .
Ключ в реестре почистил . Куст выгрузил .

[QUOTE=thyrex;639756]Попробуйте поискать упоминания в реестре файла [B]systems.exe[/B]
[/QUOTE]

такой файл есть в C:\Documents and Settings\All Users\systems.exe (смотрел проводником не через реестр)

Пробовать запустить заражённую машину ?
19.05.2010, 11:29
PavelA

такой файл есть в C:\Documents and Settings\All Users\systems.exe (смотрел проводником не через реестр)
---
Переименовать его и попробовать запуститься.
19.05.2010, 11:36
thyrex

[QUOTE='Ниид хелп;639787']Нашёл только два файла nvcpl.chm ( без QRNluaM)- скопировал .[/QUOTE]Если удастся загрузиться, поищете потом C:\WINDOWS\system32\nvcpl.chm:QRNluaM
19.05.2010, 12:20
Ниид хелп

[QUOTE=thyrex;639813]Если удастся загрузиться, поищете потом C:\WINDOWS\system32\nvcpl.chm:QRNluaM[/QUOTE]

Загрузился, следов явных вируса нет, тоесть работают все программы и команды по администрированию ,интернет работает.
Правда диспетчер задач не открывается , пишет : отключен администратором
ну и касперский на запускается то же ,пишет : невозможно открыть из за политики ограничения

nvcpl.chm:QRNluaM так и не найден .

[QUOTE=PavelA;639766]C:\WINDOWS\system32\nvcpl.chm:QRNluaM -- найдите и куда-нибудь скопируйте. В реестре этот ключ почистите.[/QUOTE]

Скопирован в папку C:\infi

Запусил AVZ переименованным в explorer.exe
Запустил hijackthis переименованным в Hyujaka.exe

Вот лог
19.05.2010, 12:30
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\nvcpl.chm:QRNluaM:$DATA','');
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Карантин пришлите по Правилам.
Сделайте лог утилитой MBAM. удалять в ней ничего не надо.
"Восстановление системы" надо будет отключить.
19.05.2010, 12:34
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nvcpl.chm:QRNluaM:$DATA','');
QuarantineFile('C:\infi\nvcpl.chm:QRNluaM:$DATA','');
DeleteFile('C:\infi\nvcpl.chm:QRNluaM:$DATA');
DeleteFile('C:\WINDOWS\system32\nvcpl.chm:QRNluaM:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Переименованный C:\Documents and Settings\All Users\systems.exe запакуйте с паролем [B]virus[/B] и также пришлите по красной ссылке

Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

Показывать 40 сообщений этой темы на одной странице