-
Junior Member
- Вес репутации
- 57
В ноутбук поймали смс попрошайку 8-911-291-76-49 (22CC6C32.exe)
Появился баннер с просьбой положить деньги на номер 8-911-291-76-49. Я снял диск и подключил к другому компу. Просканировал касперским обнаружил win32.Pornoasset.aj около 10 штук. Потом в реестре отредактировал:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение
Shell на Explorer.exe
(а было это значение "c:\Documents and Settings\All Users\Application Data\22CC6C32.exe")
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение
userinit на C:\WINDOWS\system32\userinit.exe,
(не помню но было добавлено что-то лишнее после userinit.exe)
вHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows значение AppInit_DLLs было нормальным
C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGR A~1\KASPER~1\KASPER~1\kloehk.dll
после этих манипуляций снова запустил диск на родном ноуте. Но увы заставка снова появилась и все вирусы вернулись на место после повторной проверки касперским. Снова повторил выше описанное но обнаружил что файл userinit.exe не родной. Эта дрянь не только кидает свой баннер с именем 22CC6C32.exe по пути c:\Documents and Settings\All Users\Application Data\, но и изменяет файл userinit.exe, который находится по пути c:\WINDOWS\system32\, причём изменяет его так, что он запускает другой файл такой же userinit.exe, только который является резервным для восстановления системы и лежит по пути c:\WINDOWS\system32\dllcache\, а он, в свою очередь генерирует файл 22CC6C32.exe по указанному выше пути. Короче заменил Userinit.exe на здоровый в обоих местах. Снова запустил диск на родном ноуте. И о радость заставка исчезла! После проверил работоспособность перезагрузил ноутбук. При запуске появилась проверка диска D: на целосность файлов (windows Стоит на С и так при каждом запуске. Иногда выпадает ошибка при работе в windows (Память не может быть.... и так далее). Прошу помогите логи прилагаю!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) mera1, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Плохого не нашел.
При загрузке не нажимайте клавиш и дождитесь окончания проверки всех дисков, которые запросит система.
Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.
-
-
Junior Member
- Вес репутации
- 57
сделал лог MBAM прикрепил
-
mera1, здравтсвуйте.
Удалите в MBAM только эти строки:
Код:
Заражённые папки:
c:\documents and settings\стас\application data\winxrar (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\documents and settings\стас\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\data (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\sview (Trojan.Agent) -> No action taken.
c:\documents and settings\стас\application data\winxrar\winxrar.exe (Trojan.Agent) -> No action taken.
Повторите лог.
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
Junior Member
- Вес репутации
- 57
удалил повторил МВАМ лог прилагаю
-
Чисто.
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) - обновите IE до 8.0 даже если вы им не пользуетесь.
Так же рекомендую устанавливать обновления через WindowsUpdate
Напоследок
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]