-
Junior Member
- Вес репутации
- 57
Dr.Web CureNet!
Странная ситуация с Dr.Web CureNet!,раньше ни когда не подводил.
В этот раз баннер на 3381 сообщение 9423872.
Ни один браузер не открывается,диспечер тоже.
В безапасном режиме всё работает но Dr.Web CureNet!(естественно свежий) просканировал всё и сказал что всё чисто.
Помогло с сервиса Касперского http://support.kaspersky.ru/viruses/deblocker
номера именно этого нет,но соседний похожий подошел.
код #1: 28527548, затем код #2: 35676549 [Шесть девушек на оранжевом фоне]
Вебовская дешифровка так же не дала результатов
http://www.drweb.com/unlocker/index/?lng=ru
хотя в заголовке этой темы указан как Trojan.DownLoad1.59108 (Dr. Web)
Сам баннер
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 59
недавно знакомой попадалась такая бяка. AVZ запустить никак не удавалось, в конце концов поступил таким образом - подменил файл rundll32 на екзешник avz, при этом компьютер все равно выключался при его запуске. Загрузился в безопасном режиме с поддержкой командной строки (само окошко cmd вирус тоже закрыл), с помощью win+u появился диспетчер служебных программ, у него вызвал справку, попытался ее распечатать - и вместо попытки установки принтера естессно запустился avz, и, к счастью, закрываться уже не спешил. Ну дальше уже дело техники. 
-
Junior Member
- Вес репутации
- 65
Помог ERD Commander, почистил все папки temp, корзины, кеш инета, папки System Volume Information, проверил реестр и автозагрузку, поудалял подозрительное, в реестре обратил внимание на ключи
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Image File Execution Options\explorer.exe
В ключе explorer.exe (если там есть такой) должен быть параметр "по умолчанию" больше ничего. Если есть что то ещё то это надо удалить.
В ключе HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon в параметре shell REG_sz должен быть Explorer.exe
там же в параметре Userinit REG_sz должно быть C:\WINDOWS\system32\userinit.exe,
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Windows параметр AppInit_DLLs REG_sz зачистить.
Запустил полную проверку CureIt!.exe.
Чтобы отключить Восстановление системы, нужно создать параметр DWORD DisableConfig со значением 1 в разделе
[HKLM\SOFTWARE\Policies\Microsoft\Windows NT]
Перезагрузился, помогло.
-
Junior Member
- Вес репутации
- 59
Сообщение от
newman1997
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Windows параметр AppInit_DLLs REG_sz зачистить.
Так уж и зачистить? У меня там касперский прописан:
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGR A~1\KASPER~1\KASPER~1\kloehk.dll
Так что поаккуратнее чистите
-
Junior Member
- Вес репутации
- 65
Сообщение от
@leja
Так уж и зачистить? У меня там касперский прописан:
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGR A~1\KASPER~1\KASPER~1\kloehk.dll
Так что поаккуратнее чистите
На рабочей системе, там антивирь прописывается, а если хапнул этого локера, то антивирю кирдык, после чистки переустановить можно
P.S. У меня на заражённой тачке, пока не удалил dll-ку и не зачистил этот параметр, баннер не пропадал, от всёх до этого проделанных действий из списка.
Последний раз редактировалось newman1997; 05.06.2010 в 09:54.
-
Junior Member
- Вес репутации
- 57
у меня этот вирус например зачистил все оборудования в папке диспетчера устройств)))
нашалил как надо =) даже автозагрузку не поменять))
так что ни звука щас, ни инета))) всё остальное работает видимо из принципа =)
да и файликов троян наделал туеву кучу))) штук 10 точно =)
-
Junior Member
- Вес репутации
- 57
-
Сообщение от
TJDimas
В IE, если не ошибаюсь, это можно сделать, например, через HiJackThis;
можно по подробней как это сделать какую строчку фиксить?
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Сообщение от
fotorama
можно по подробней как это сделать какую строчку фиксить?
Может это имеется в виду? (0 - галочка снята)
Последний раз редактировалось Vadim_SVN; 10.02.2011 в 09:23.
-
Сообщение от
Vadim_SVN
Может это имеется в виду? (0 - галочка снята)
может но тогда причем здесь HiJackThis?
Незнание закона не освобождает от ответственности.
Знание - запросто
-
-
Junior Member
- Вес репутации
- 62
Я вот смотрю здесь все борются со следствием, но никто даже не думает попытаться обезвредить источник.
У кого-то есть информация относительно сайтов/хостов, с которых дропперы загружались?
-
Junior Member
- Вес репутации
- 60
Мне тоже интересно ..... Например: Получил я заразу с отправкой смс на 9191 (номер только что придуманный мною, ни бойтесь) и как мне выйти на оператора этого номера? Честно сказать я готов всегда звонить и помогать блокировать эти номера - это я считаю как защита нашей Родины.
-
А Вы разве не читали первое сообщение этой темы, там Николай ясно даёт информацию о телефонных номерах технической поддержки поставщика услуг и насколько я знаю, там с радостью заблокируют гадов.
Сообщение от
Lonely Soul
Я вот смотрю здесь все борются со следствием, но никто даже не думает попытаться обезвредить источник.
У кого-то есть информация относительно сайтов/хостов, с которых дропперы загружались?
Вы хотите порчу на многомиллионные источники заразы навести?
-
