-
Junior Member
- Вес репутации
- 55
Два! Порно банера подряд
История такова >
Появился порно банер просящий отослать смс с текстом 1011243 на номер 5121
к нему я подобрал код и он исчез,
но практически сразу выскочил новый баннер
просящий отослать текст М201017171 на номер 3381
к этому коды не подошли.
Мало того , не даёт запустить AVZ ни полиморфный ни обычный переименованный ни к каком режиме.
С LIveCD запускал AVZ и др антивирусники - вирусов не нашли .
А вот hijackthis запустить удалось на заражённой системе .
Вот так , помогите в очередной раз пожалуйста ..
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
перезагрузитесь
попробуйте выполнить скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
DeleteFile('C:\WINDOWS\system32\srnh.lto');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 55
Профиксил в HijackThis .
Перезагрузил.
AVZ не запускается и сразу комп выключается.
Проблемы остались те же ..Баннер с текстом М201017171 на номер 3381
В безопастном режиме тоже самое.
P.S> Могу скрипт выполнить в AVZ с Live CD . Но я так понял это го делать не надо ?
Могу попробовать вручную удалить файл по адресу C:\WINDOWS\system32\srnh.lto , надо ?
Последний раз редактировалось Ниид хелп; 18.05.2010 в 19:42.
-
Junior Member
- Вес репутации
- 55
Водил коды собранные с этой ветки форума у кого тоже баннер с номером 3381-
не подходят..
Как только не переименовывал AVZ - не запускается ни в безопастном режиме
ни под другой учётной записью.
А ведь некоторым тут подбирали как то код под этот номер .
Может дадите ссылочку на алгоритм подбора - сам попробую подобрать ..
-
Сообщение от
Ниид хелп
P.S> Могу скрипт выполнить в AVZ с Live CD . Но я так понял это го делать не надо ?
Нет, нужен другой подход
Ваш Live CD с возможностью просмотра и правки реестра?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
thyrex
Нет, нужен другой подход
Ваш Live CD с возможностью просмотра и правки реестра?
Да, умею пользоваться .Всё готово для начала работы .( LIveCD загружен)
Последний раз редактировалось Ниид хелп; 19.05.2010 в 08:33.
-
Посмотрите в реестре:
ветка
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр Содержимое этого параметра в своем сообщении напишите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
AppInit_DLLs / тип: REG_SZ / значение : пусто ( ничего нет)
-
Это параметры из загруженного куста?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Попробуйте поискать упоминания в реестре файла systems.exe
Также с помощью LiveCD посмотрите содержимое файла win.ini в папке system32 на предмет записей с подозрительными именами файлов
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
PavelA
Это параметры из загруженного куста?
Да, конечно
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
thyrex
Посмотрите в реестре:
ветка
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр Содержимое этого параметра в своем сообщении напишите
Прошу прощения я ошибся . Вот содержание из выгруженного куста
C:\WINDOWS\system32\nvcpl.chm:QRNluaM
-
C:\WINDOWS\system32\nvcpl.chm:QRNluaM -- найдите и куда-нибудь скопируйте. В реестре этот ключ почистите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
PavelA
C:\WINDOWS\system32\nvcpl.chm:QRNluaM -- найдите и куда-нибудь скопируйте. В реестре этот ключ почистите.
Нашёл только два файла nvcpl.chm ( без QRNluaM)- скопировал .
Ключ в реестре почистил . Куст выгрузил .
Сообщение от
thyrex
Попробуйте поискать упоминания в реестре файла systems.exe
такой файл есть в C:\Documents and Settings\All Users\systems.exe (смотрел проводником не через реестр)
Пробовать запустить заражённую машину ?
-
такой файл есть в C:\Documents and Settings\All Users\systems.exe (смотрел проводником не через реестр)
---
Переименовать его и попробовать запуститься.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
Ниид хелп
Нашёл только два файла nvcpl.chm ( без QRNluaM)- скопировал .
Если удастся загрузиться, поищете потом C:\WINDOWS\system32\nvcpl.chm:QRNluaM
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
thyrex
Если удастся загрузиться, поищете потом C:\WINDOWS\system32\nvcpl.chm:QRNluaM
Загрузился, следов явных вируса нет, тоесть работают все программы и команды по администрированию ,интернет работает.
Правда диспетчер задач не открывается , пишет : отключен администратором
ну и касперский на запускается то же ,пишет : невозможно открыть из за политики ограничения
nvcpl.chm:QRNluaM так и не найден .
Сообщение от
PavelA
C:\WINDOWS\system32\nvcpl.chm:QRNluaM -- найдите и куда-нибудь скопируйте. В реестре этот ключ почистите.
Скопирован в папку C:\infi
Запусил AVZ переименованным в explorer.exe
Запустил hijackthis переименованным в Hyujaka.exe
Вот лог
Последний раз редактировалось Ниид хелп; 19.05.2010 в 12:28.
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\nvcpl.chm:QRNluaM:$DATA','');
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Карантин пришлите по Правилам.
Сделайте лог утилитой MBAM. удалять в ней ничего не надо.
"Восстановление системы" надо будет отключить.
Последний раз редактировалось PavelA; 19.05.2010 в 12:37.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nvcpl.chm:QRNluaM:$DATA','');
QuarantineFile('C:\infi\nvcpl.chm:QRNluaM:$DATA','');
DeleteFile('C:\infi\nvcpl.chm:QRNluaM:$DATA');
DeleteFile('C:\WINDOWS\system32\nvcpl.chm:QRNluaM:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Переименованный C:\Documents and Settings\All Users\systems.exe запакуйте с паролем virus и также пришлите по красной ссылке
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-