не могу отключить баннер

Printable View

Показывать 40 сообщений этой темы на одной странице

03.06.2010, 14:25
gurucan

не могу отключить баннер

нигде не могу найти код для отключения баннера: 1860151188577 на номер 3381 (просит 2 смс). [B][COLOR=red]Индивидуальный код найден не был. Проверьте указанные ниже коды[/COLOR][/B]

перепробовал все предложенные коды с ресурсов касперского и dr web - не помогло. как быть?

[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]

сделать логи нет возможности: в безопасном режиме всё тот же баннер на весь эран
03.06.2010, 14:49
thyrex

1. Скачайте образ [b]ERD Commander[/b], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [b]erdregedit[/b]
3. Посмотрите в реестре:
[b]ветка[/b]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]
[b]параметр[/b]
[code]AppInit_DLLs[/code]

Содержимое этого параметра напишите в своем сообщении
03.06.2010, 18:58
gurucan

ветка
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]параметр
[code]AppInit_DLLs[/code]Содержимое:

ⓠ',C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\kloehk.dll
03.06.2010, 20:16
polword

сделайте с Live CD
- оставте только [B]C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\kloehk.dll[/B]
- Пробуйте загрузиться в обычном режиме, если получиться - сделайте комплект логов по правилам
03.06.2010, 20:57
gurucan

сколько по времени грузится live CD? похоже у меня не получается: на этапе заставки "Preparing the LiveCD environment" в default mode комп виснет (при этом мигает индикатор caps lock). В safe mode то же самое: виснет на строке load modul: pata_radisys с миганием того же индикатора.
что дальше?
03.06.2010, 21:01
thyrex

С какого LiveCD смотрели содержимое параметра?
03.06.2010, 21:04
gurucan

с ERD Commander... а сейчас пробовал запустить LiveCD от Dr Web..
в реестре значение поменял, в обычном режиме загрузки всё без изменений: баннер висит
03.06.2010, 22:46
thyrex

Как мне кажется, Вы что-то делаете не так и не увидели верного значения AppInit_DLLs
04.06.2010, 01:37
gurucan

[QUOTE=thyrex;648971]Как мне кажется, Вы что-то делаете не так и не увидели верного значения AppInit_DLLs[/QUOTE]

Объясните, пожалуйста, как увидеть верное значение AppInit_DLLs.
Я присылаю то, что вижу по указанному пути в реестре в колонке "DATA" напротив AppInit_DLLs .

Там сейчас - [B]C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\kloehk.dll
[/B]Попытка через правую кнопку мыши -> modify стереть всю запись ничего не изменила: загрузка в обычном режиме даёт баннер, а при повторном входе в реестр (через [B]ERD Commander[/B]) обнаруживаю всё то же значение для AppInit_DLLs (C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\kloehk.dll)

что делать?

[size="1"][color="#666686"][B][I]Добавлено через 59 минут[/I][/B][/color][/size]

смог убрать баннер при обычной загрузке отредактировав параметр:

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

userinit = C:\WINDOWS\system32\userinit.exe

Было так: userinit = C:\WINDOWS\system32\,C:\WINDOWS\system32\userinit.exe
04.06.2010, 12:28
thyrex

Ждем логов по правилам
04.06.2010, 14:18
gurucan

1. сделана полная проверка KIS
2. cureit в безопасном режиме запустить не удалось, хотя он успел сообщить что вирусы есть (RC=3221225477)
3. логи avz и hijackthis прилагаю
04.06.2010, 14:25
polword

[QUOTE=gurucan;649336]3. логи avz и hijackthis прилагаю[/QUOTE]
Куда приложили?
04.06.2010, 14:30
gurucan

извиняюсь за задержку.. опера загрузить файлы не смогла, пришлось через Internet Explorer заливать
04.06.2010, 14:37
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lnksMRT.dll','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('c:\temp\c.exe','');
QuarantineFile('c:\temp\e.exe','');
QuarantineFile('c:\temp\dxutv.dat 0yAAAAAAAA','');
QuarantineFile('PsaSrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\qcndisif.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ad9f15jz.SYS','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
DeleteFile('c:\temp\dxutv.dat 0yAAAAAAAA');
DeleteFile('c:\temp\e.exe');
DeleteFile('c:\temp\c.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFile('C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: TBSB00196 - {1236D836-E9BA-4175-894F-2072A14D5A26} - (no file)
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
[/CODE]

- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
04.06.2010, 15:27
gurucan

снова логи
04.06.2010, 16:08
thyrex

Выполните скрипт в AVZ
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sshnas.dll','');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\lnksMRT.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
04.06.2010, 16:58
gurucan

не могу загрузить карантин.. пишет :
[B]Ошибка загрузки. Данный файл уже был загружен[/B]

новые логи прилагаю..
04.06.2010, 17:06
thyrex

C:\WINDOWS\system32\sshnas.dll запакуйте с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
04.06.2010, 17:58
gurucan

по указанному пути такого файла нет

[size="1"][color="#666686"][B][I]Добавлено через 35 минут[/I][/B][/color][/size]

переархивировал карантин и смог отправить под именем virus
04.06.2010, 21:10
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sshnas.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи

Показывать 40 сообщений этой темы на одной странице