Поймал банер тел 3381 текст T702716300

Printable View

18.05.2010, 19:16
savik

Поймал банер тел 3381 текст T702716300

На один из моих компьютеров пролез банер "Рекламный модуль" просит ввести код . тел 3381 текст Т702716300. Прошу помощи , а то скоро жена с работы придет
18.05.2010, 19:22
ARMA9000

[url]http://support.kaspersky.ru/viruses/deblocker[/url] эти коды попробуйте.
Выполните правила.
19.05.2010, 04:21
savik

все жена пришла. скажу что комп не работает завтра буду бороться Спасибо

[size="1"][color="#666686"][B][I]Добавлено через 8 часов 51 минуту[/I][/B][/color][/size]

загрузился и работаю с LIVE CD . продолжать все шаги согласно инструкции ?
19.05.2010, 05:26
savik

Вложений: 2

Все сделал как в инструкции тоько с LIVE CD

С загруженного LIVE CD запустил AVZ и выполнил два скрипта. После запустил HijackThis. Логи посылаю. Жду дальнейших указаний
19.05.2010, 07:04
Bratez

К сожалению, логи, сделанные в LiveCD, не дают необходимой информации о зараженной системе, поэтому толку от них нет.

Если сделать логи в больной системе, хотя бы в безопасном режиме, не удается, тогда нужно в LiveCD запускать regedit, подключать реестр вашей системы и копаться в нем вручную. Если вы готовы этим заняться под нашим руководством, то можно попробовать.
19.05.2010, 15:43
savik

Готов попробовать. Другие варианты не помогли
19.05.2010, 16:37
thyrex

Скачайте образ Live CD с возможностью просмотра и правки реестра, например, ERD Commander (наиболее подходящий вариант)

Запишите образ на диск и загрузитесь с созданного диска.
Запустите с этого LiveCD редактор реестра.

Посмотрите в реестре:
[B]ветка[/B] [CODE]HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
[B]параметр[/B] [CODE]AppInit_DLLs[/CODE]

Содержимое этого параметра в своем сообщении напишите
19.05.2010, 21:15
savik

Позвонил по тел + 7 495 363 1427 . Дали код 8656Y88V.Помогло. Теперь буду делать проверку по Вашей инструкции. Есть несколько вопросов по ходу выполнения инструкции:

1-Перед ДИАГНОСТИКОЙ в п.6 Как правильно выгрузить DrWeb 5?
2-После выполнения первого скрипта, перед перезагрузкой надо снова включить антивирус?
3-Когда надо снова включать восстановление системы
19.05.2010, 21:17
ARMA9000

[QUOTE='savik;640272']1-Перед ДИАГНОСТИКОЙ в п.6 Как правильно выгрузить DrWeb 5?
2-После выполнения первого скрипта, перед перезагрузкой надо снова включить антивирус?
3-Когда надо снова включать восстановление системы [/QUOTE]
1. ПРосто отключите все компоненты.
2.На время выполнения диагностики не вкл. антивирус.
3. После окончания лечения.
19.05.2010, 21:25
savik

Понял . Ещё раз спасибо. Буду делать на двух компьютерах сразу
20.05.2010, 01:23
savik

Первый компьютер

Доброй ночи
закончил проверку 1 компьютера
Скажите Ваш приговор
20.05.2010, 02:50
Bratez

Ничего подозрительного.
Похоже, он честно самоликвидировался.
20.05.2010, 09:15
thyrex

Несмотря на чистоту, сделайте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
20.05.2010, 19:44
savik

Вложений: 1

Компьютер на котором был банер

Ребятки ! Наконец то закончил со вторым компьютером, где висел банер. Проверьте пожалуйста логи.
20.05.2010, 20:10
thyrex

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\sdra64.exe,c:\windows\system32\da80bae3.exe,\\?\globalroot\systemroot\system32\gxfooao.exe,\\?\globalroot\systemroot\system32\b2yk6h8.exe,[/CODE]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\DrPxc7Q.exe
c:\windows\system32\uJzdi6G.exe
c:\windows\system32\ZT107IL.exe
c:\windows\system32\paNpXIP.exe
c:\windows\system32\xdGLxBr.exe
c:\windows\system32\jYcyvww.exe
c:\windows\system32\X24QJMU.exe
c:\windows\system32\X8fF96S.exe
c:\windows\system32\uCfkthE.exe
c:\windows\system32\Et3jiDw.exe
c:\windows\system32\uahwoz.dll
c:\windows\system32\KrFQb3l.exe
c:\windows\system32\TnEHan5.exe
c:\windows\system32\wDtdGgz.exe
c:\windows\system32\nEkdAGX.exe
c:\windows\system32\nvvotyt.dll
c:\windows\system32\ll.dll
c:\windows\system32\mcmpxzgg.dll
c:\windows\system32\zxyrkpirw.dll
c:\windows\system32\pobtckr.dll
c:\windows\system32\wjkao.dll

Driver::
sqjjhi
borsdhxqc

NetSVC::
sqjjhi
borsdhxqc

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3305:TCP"=-

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
20.05.2010, 20:31
savik

После HiJack-a надо перегрузиться? Или все выполнить и потом перегрузиться?

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Перед загрузкой в ComboFix отключать Dr Web?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

:O в Hijacak нет кодов F2
20.05.2010, 20:31
thyrex

[QUOTE='savik;640915']После HiJack-a надо перегрузиться?[/QUOTE]Да

[QUOTE='savik;640915']Перед загрузкой в ComboFix отключать Dr Web?[/QUOTE]Отключите
20.05.2010, 21:56
savik

в Hijacak нет кодов F2

открыл Hijack. но там нет строчек F2
20.05.2010, 22:10
thyrex

Выполняйте скрипт для ComboFix + сделайте новый лог HiJack
21.05.2010, 00:16
savik

новый лог для Combofix и Hijacks

пришлось снести весь DrWeb. А то он ни как не выгружался весь ,Combofix ругался . Хотя отключил все что можно
21.05.2010, 00:53
thyrex

Ничего плохого

Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

[URL="http://virusinfo.info/showpost.php?p=493610&postcount=1"]Удалите ComboFix[/URL]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
22.05.2010, 01:10
savik

Огромное спасибо

Огромное спасибо за поддержку. Это действительно было ужасно , столько времени потрачено и нервов. Пока все работает. Будем ждать новых сюрпризов. Еще раз спасибо за понимание и терпение.:dance3:

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE][QUOTE=thyrex;641074]Ничего плохого

Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.[/QUOTE]

[

Могу выслать только частями, а то он весит 16 Мб , а почта расчитана на 5
22.05.2010, 01:14
ARMA9000

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE='thyrex;641074']Установите SP3 (может потребоваться активация) + все новые патчи
Установите Adobe Acrobat 9.3 или удалите старый [/QUOTE]
Вот это надо выполнить.
22.05.2010, 01:18
savik

Да Уже загружаю SP3, Acrobat пока удалил
22.05.2010, 01:25
thyrex

[QUOTE='savik;641635']Могу выслать только частями, а то он весит 16 Мб , а почта расчитана на 5[/QUOTE]Выложите на файлообменник, а ссылку пришлите на e-mail
22.05.2010, 02:01
savik

[QUOTE=thyrex;641646]Выложите на файлообменник, а ссылку пришлите на e-mail[/QUOTE]

Если не трудно пару слов , как и где выложить:?

[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]

Закачал на ifolder, ссылку послал Вам на почту.
Спасибо
22.05.2010, 11:18
thyrex

Получил. Спасибо