-
Junior Member
- Вес репутации
- 51
2in1
Здарвствуйте, у меня две проблемы:
1. Во всех браузерах баннер блокирует вконтакте, просит подтвердить владение им, при нажатии на лубую кнопку просит ввести номер телефона.
После ввода приходит смс, в смс написано чтобы я отправил другое смс куда то ещё, проверил номер через гугл - говорят мошенники.
2. На другой винде баннер на экране, блокирует винду и якобы я смотрел/копировал/тироживал материалы содержающие элементы педофилии или что то типо этого. Просит выслать 400р на мтс номер - 89897520761.
На компьютере 2 винды, пишу я сейчас с рабочей, проблема на второй. Можно чтото сделать чтобы разблокировать вторую виндус этой?
Баннер блочит пуск, диспетчер и тд. Перед тем, как поймал баннер вылезла какая то фигня с Java в трее.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) STORKpwnz, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=C:\windows\explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 193.218.156.156 www.vkontakte.ru
O1 - Hosts: 193.218.156.156 www.vk.com
O1 - Hosts: 193.218.156.156 vkontakte.ru
O1 - Hosts: 193.218.156.156 vk.com
O1 - Hosts: 193.218.156.156 www.odnoklassniki.ru
O1 - Hosts: 193.218.156.156 odnoklassniki.ru
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
Сделайте лог полного сканирования МВАМ (сами ничего не удаляйте)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
С 1 проблемой всё решено, 2 актуальна.
Вот логи:
-
Удалите в МВАМ только указанные строки
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
Зараженные папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.
Зараженные файлы:
c:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\application data\lsass.exe (Trojan.Delf) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.17522896555070588.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.1690770754765244.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.3457869858616487.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.4956905274859734.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5416161711719851.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5440076690932493.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5513044630989075.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5534041063122094.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5844504701380624.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5975716676572871.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.7498002580158696.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8468193706316115.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8523588507000089.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8609399862111732.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9259398144707442.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9584291667131395.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9760379713827865.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.389890043475266.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.570565674430977.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\all users.windows.0\application data\22CC6C32.exe (Trojan.Ransom) -> No action taken.
Пробуйте стартовать в проблемной системе. Есть предположение, что придется править в ней параметры в реестре, особенно параметр userinit (см. http://virusinfo.info/showthread.php?t=51777)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Удалил, загрузился в проблемной системе. Баннер пропал, но не рабочего стола, не пуска, ничего нет.
С проблемной винды попробовал сделать - http://virusinfo.info/showthread.php?t=51777
Но безуспешно, пишет:
Не удается загрузить C:\WINDOWS.0\system32\config\software. Процесс не может получить доступ к файлу, так как этот файл используется другим процессом.
Или нужно было с рабочей винды это делать?
-
Junior Member
- Вес репутации
- 51
Вот логи с проблемной винды.
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: Shell=C:\Documents and Settings\All Users.WINDOWS.0\Application Data\22CC6C32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\Application Data\lsass.exe
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Проблема решилась на 1 раз, появился пуск и рабочий стол и тд. Перезагрузил компьютер и баннер появился опять.
-
Junior Member
- Вес репутации
- 51
Сделал новый лог MBAM с работающе системы, на проблемную зайти не могу снова, баннер вновь появился и блокирует всё.
Вот лог, что удалять ?
-
Удалите в МВАМ только указанные строки
Код:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
Зараженные файлы:
c:\documents and settings\all users.windows.0\application data\22CC6C32.exe (Trojan.Ransom) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Удалил, баннер остался
-
банер на другой системе , я так понимаю ? ее никто и не лечил ...
-
-
Junior Member
- Вес репутации
- 51
Да, на другой
Добавлено через 7 часов 52 минуты
Сообщение от
V_Bond
банер на другой системе , я так понимаю ? ее никто и не лечил ...
Но после выполнения этих действий:
Сообщение от
thyrex
Удалите в МВАМ только указанные строки
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
Зараженные папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.
Зараженные файлы:
c:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\application data\lsass.exe (Trojan.Delf) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.17522896555070588.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.1690770754765244.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.3457869858616487.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.4956905274859734.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5416161711719851.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5440076690932493.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5513044630989075.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5534041063122094.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5844504701380624.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5975716676572871.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.7498002580158696.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8468193706316115.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8523588507000089.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8609399862111732.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9259398144707442.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9584291667131395.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9760379713827865.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.389890043475266.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.570565674430977.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\all users.windows.0\application data\22CC6C32.exe (Trojan.Ransom) -> No action taken.
Пробуйте стартовать в проблемной системе. Есть предположение, что придется править в ней параметры в реестре, особенно параметр userinit (см.
http://virusinfo.info/showthread.php?t=51777)
Баннер пропал, правда опять появился.
Что делать дальше ? Подскажите пожалуйста.
Последний раз редактировалось STORKpwnz; 13.06.2011 в 21:39.
Причина: Добавлено
-
Лог МВАМ еще раз сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
-
Удалите в МВАМ только указанные строки
Код:
c:\WinRAR.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\all users.windows.0\application data\22CC6C32.exe (Trojan.Ransom) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Удалил, перезагрузился в проблемную систему - без изменений.
Ещё в это папке (c:\documents and settings\all users.windows.0\application data\) нашел непонятный файл vvvKKKKKKK0.exe
-
Запакуйте файлы userinit.exe и taskmgr.exe с проблемной системы, а также обнаруженный Вами файл в один архив с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51