порно баннер

Здравствуйте словил порно баннер требует пополнить счёт 004287-924675 на 300р диспеччер задач не запускаеться касперский тоже помоему вирус сьел каспера т.к пишет avp.exe не найден не открываеться не один браузер avz удолось запустить только в безопассном режиме с поддержской командной строки базы обновить не смог помогите пожалуйста пишу с другого компа

удолось обновить базы avz вот новые логи

я баннер убрал хотелось бы посмотреть всёли чисто в системе и не своровал ли он мои пароли

Плохого не видно

:)спасибо

[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]

рано обрадовался баннер вылез сного приходиться убирать его из автозагрузки что бы хотя бы запустить браузер при баннере нечего не открываеться и не запускаеться даже антивирь компьютер сам перезагружаеться и вылазеет этот баннер логи avz при включённом баннере сделать не могу что можно попробовать ? помогите удалить его до конца

Скачайте образ [B]ERD Commander[/B], запишите на болванку

При активном баннере

1. Загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code]
[B]параметр[/B]
[code]userinit[/code]
[B]параметр[/B]
[code]shell[/code]
Содержимое этих параметров напишите в своем сообщении

shell-explorer.exe userinit-c:\windows\system32\userinit.exe,

[size="1"][color="#666686"][B][I]Добавлено через 44 минуты[/I][/B][/color][/size]

я нашёл заражённый файл касперским он не определяеться удалить не могу проверить на вирус тотол тоже не могу пишет нет прав доступа поменять прова тоже не удаёться что с ним делать?

[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]

удолось проверить на вирус тотол касперским он не определяеться нодом оприделяеться как NOD32 5313 2010.07.26 a variant of Win32/Kryptik.FQU

Посмотрите еще в реестре:
[I][B]ветка[/B][/I]
[QUOTE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/QUOTE]

[I][B]параметр[/B][/I]
[QUOTE]AppInit_DLLs[/QUOTE]

Содержимое этого параметра напишите в своем сообщении

[QUOTE=123pavel;676677]
я нашёл заражённый файл касперским он не определяеться удалить не могу проверить на вирус тотол тоже не могу пишет нет прав доступа поменять прова тоже не удаёться что с ним делать?
[/QUOTE]

какой полный путь к найденному файлу?

Логи сделать сможете?

AppInit_DLLs -c:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,c:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
полный путь к файлу- c:\programData\temp.dir\mspro32 при включённом банере логи сделать не могу

[size="1"][color="#666686"][B][I]Добавлено через 1 час 45 минут[/I][/B][/color][/size]

вы меня не забыли?

[size="1"][color="#666686"][B][I]Добавлено через 33 минуты[/I][/B][/color][/size]

у меня тяжёлый случай?

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

может прислать заражённый файл на анализ что бы дело быстрее пошло?

Сделайте лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]

простите что так длго вот лог

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\ProgramData\TempDir\mspro32.scr','');
QuarantineFile('C:\Users\паша\AppData\Local\Opera\Opera\temporary_downloads\flash_player (1).exe','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

После этого [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите в МВАМ[/URL] все найденное

простите мне сканировать второй раз?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Файл сохранён как 100727_113819_virus_4c4e8ceb41814.zip
Размер файла 117057
MD5 1492a0059eea7dad54c0d32fa9242dea

Выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\ProgramData\TempDir\mspro32.scr');
DeleteFile('C:\Users\паша\AppData\Local\Opera\Opera\temporary_downloads\flash_player (1).exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Сделайте лог MBAM

прстите мне в MBAM удолять всё найденное или просто повторить лог?

[size="1"][color="#666686"][B][I]Добавлено через 1 час 26 минут[/I][/B][/color][/size]

скрипты выполнил лог
MBAM прилогаю что дальше?

вот лог

в логе чисто, что с проблемой?

в автозагрузке он сидит и время от времини самостоятельно включаеться

- Скачайте RSIT [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

удолось зделать логи при включённо банери иначе он не определяеться сейчас определился вот логи

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
O4 - HKLM\..\Run: [AAPatch] C:\ProgramData\TempDir\start.bat
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\ProgramData\TempDir\start.bat','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

Файл сохранён как 100727_152044_quarantine_4c4ec10c1949d.zip
Размер файла 595
MD5 7afc063703821b6246da7a5b050ed8a6

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 17 минут[/I][/B][/color][/size]

простите карантин пришёл?

пришел. подождем вердикта.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

что сейчас с проблемой?

:)спасибо будем ждать

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

:)пока проблем нету баннер из автозагрузке изчез всё ОК!

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\ProgramData\TempDir\start.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

:)скрипт выполнил после выполнения скрипта компьютер перезагрузился что делать дальше?

[size="1"][color="#666686"][B][I]Добавлено через 10 часов 56 минут[/I][/B][/color][/size]

Здравствуйте скажите мне нужно ещё что -нибудб зделать

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 47 минут[/I][/B][/color][/size]

простите но мне хотелось бы получить ответ сегодня заметил что перестал обновляться касперский последнее обновление было вчера в 17.00 может вирус ещё сидит в системе?

давайте сделаем еще раз комплект логов virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log

базы avz обновить не смог пришлось логи делать со старыми базами кто-то блокирует все обновления

DNS-адреса Ваши?
[QUOTE]212.1.224.34,212.1.230.111[/QUOTE]

да мои

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

касперского восстоновил он теперь обновляеться скажите я пролечился до конца?

Ничего необычного не видно

:)спасибо всем тему можно закрывать

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\tempdir\mspro32.scr - [B]Trojan-Ransom.Win32.XBlocker.bbk[/B] ( DrWEB: Trojan.AdultBan.269, BitDefender: Trojan.Agent.AQGU, AVAST4: Win32:Malware-gen )[*] c:\users\паша\appdata\local\opera\opera\temporary_downloads\flash_player (1).exe - [B]Trojan-Ransom.Win32.XBlocker.bbk[/B] ( DrWEB: Trojan.AdultBan.269, BitDefender: Trojan.Agent.AQGU, AVAST4: Win32:Malware-gen )[/LIST][/LIST]