Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Баннер при загрузке Win XP (заявка № 103819)

  1. #1
    Junior Member Репутация
    Регистрация
    16.06.2011
    Сообщений
    17
    Вес репутации
    24

    Баннер при загрузке Win XP

    При загрузке рабочего стола (в любом режиме (безопасный, с поддержкой командной строки....)) появляется баннер "перечислите 400 рублей на счёт телефона 9817539670 и т. д....". При проведении диагностики AVZ начинает поиск, появляется папка LOG (пустая!), но окна AVZ тут же пропадают. При повторении загрузки AVZ - тоже самое. HijackThis не запускается (из папки 1.zip - тоже), говорит якобы отсутствует файл MSVBVM60.DLL. Пробовал утилитой uvs - нашёл несколько файлов, в том числе 22cc6c32.exe. Файл удаляется, пишется в лог, но при перезагрузке появляется вновь. Сейчас работаю с рабочего компа, безуспешно (нет прав доступа к форматированию носителя) пробовал создать LiveCD на домашней флэшке - MS Forefront Protection 2010 увидел 2 трояна - Ransom df и Vundo. Помогите, пожалуйста, избавиться от этой заразы

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) Peretc, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с системы, аналогичной заблокированной)
    2. Загрузиться с Live CD
    3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache)
    4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
    5. Исправляете параметры: shell, где должно быть указано explorer.exe и userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (включая запятую)

    Пробуете стартовать в проблемной системе

    Если загрузка пройдет успешно, не торопитесь уходить. Вполне возможно, что будут остатки, которые нужно будет добивать
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    16.06.2011
    Сообщений
    17
    Вес репутации
    24
    Цитата Сообщение от thyrex Посмотреть сообщение
    1. Скопировать на флешку файлы userinit.exe и taskmgr.exe (чистые с дистрибутива или скопировать с системы, аналогичной заблокированной)
    2. Загрузиться с Live CD
    3. Удалить файлы: C:\documents and settings\all users\application data\22cc6c32.exe, userinit.exe и taskmgr.exe (в папках system32 и system32\dllcache)
    4. Скопировать c флешки файлы userinit.exe и taskmgr.exe в C:\WINDOWS\system32
    5. Исправляете параметры: shell, где должно быть указано explorer.exe и userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (включая запятую)

    Пробуете стартовать в проблемной системе

    Если загрузка пройдет успешно, не торопитесь уходить. Вполне возможно, что будут остатки, которые нужно будет добивать

    Выполнил все указания, перезагрузился - нет эффекта. 22cc6c32 появился опять. Вручную убрал файл NETPROTOCOL.EXE (на него ругался MS Forefront Protection 2010) и 22cc6c32, поправил реестр, перезагрузился, баннер пропал, винда загрузилась до выбора пользователя (но логин только мой, "Администратора" нет) и дальше никак - при выборе пользователя сообщение "загрузка личных параметров" и сразу же через секунду "завершение сеанса" и опять выбор пользователя с одной кнопкой. userinit и taskmgr опять повреждены (даже на флэшке, на радостях не подстраховался и забыл её вытащить). Сейчас заново скопировал userinit и taskmgr, но заняться процессом смогу только 23 июня.

  6. #5
    Junior Member Репутация
    Регистрация
    16.06.2011
    Сообщений
    17
    Вес репутации
    24
    Здравствуйте!
    Поменял userinit и taskmgr, поменял параметры, вошёл в систему нормально. Mozilla не грузится, говорит, что процесс уже загружен, для повторения необходима перезагрузка. IE работает, с него и пишу. AVZ запускал, но лога irusinfo_syscheck.zip там нет, только virusinfo_cure.zip и virusinfo_syscure.zip. Отправляю оба и hijackthis.log. Посмотрите, пожалуйста.
    Последний раз редактировалось Никита Соловьев; 23.06.2011 в 13:17. Причина: лишнее вложение

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     SetServiceStart('Network Adapter Events', 4);
     DeleteService('Network Adapter Events');
     TerminateProcessByName('c:\windows\system32\mswpjlbr.exe');
     QuarantineFile('c:\windows\system32\mswpjlbr.exe','');
     DeleteFile('c:\windows\system32\mswpjlbr.exe');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('sfc');
    BC_Activate;
    ExecuteREpair(16);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    16.06.2011
    Сообщений
    17
    Вес репутации
    24
    MBAM скачать не получается - почему-то страница недоступна... Карантин выслал.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от Peretc Посмотреть сообщение
    MBAM скачать не получается
    Попробуйте Malwarebytes' Anti-Malware или с зеркала
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    16.06.2011
    Сообщений
    17
    Вес репутации
    24
    Высылаю новые логи.

    Добавлено через 2 минуты

    Никак, обе страницы недоступны..... :-(((((((((

    Добавлено через 3 минуты

    Логи почему-то не прицепились...
    Последний раз редактировалось Peretc; 23.06.2011 в 13:53. Причина: Добавлено

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    c:\WINDOWS\system32\sfcfiles.dll запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    16.06.2011
    Сообщений
    17
    Вес репутации
    24
    Закачал.

  13. #12
    Junior Member Репутация
    Регистрация
    16.06.2011
    Сообщений
    17
    Вес репутации
    24
    Сегодня на работе скачал МВАМ, 29-го буду пробовать.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    c:\WINDOWS\system32\sfcfiles.dll замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654 или скопируйте с аналогичной системы

    Постарайтесь сделать лог МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    16.06.2011
    Сообщений
    17
    Вес репутации
    24
    Наконец-то появилась возможность продолжить лечение. Высылаю лог.

  16. #15
    Student (P) Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для crush13
    Регистрация
    28.05.2010
    Адрес
    Курган
    Сообщений
    680
    Вес репутации
    54
    Peretc, здравствуйте,
    1. Обязательно!!! Отключить системное восстановление!!! как - посмотреть можно здесь (по окончанию лечения включите);
    - Выгрузите антивирус и/или Файрвол;
    - Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('c:\system volume information\_restore{caf5f150-0192-4dcd-8321-9d3d7a8ca0c7}\RP299\A0343870.exe','');
     QuarantineFile('c:\system volume information\_restore{caf5f150-0192-4dcd-8321-9d3d7a8ca0c7}\RP314\A0402920.exe','');
     QuarantineFile('c:\system volume information\_restore{caf5f150-0192-4dcd-8321-9d3d7a8ca0c7}\RP314\A0450870.exe','');
     QuarantineFile('d:\Logs\userinit.exe','');
     QuarantineFile('f:\WINDOWS\system32\dllcache\iissync.exe','');
     DeleteFile('d:\Logs\userinit.exe');
     DeleteFile('c:\system volume information\_restore{caf5f150-0192-4dcd-8321-9d3d7a8ca0c7}\RP314\A0450870.exe');
     DeleteFile('c:\system volume information\_restore{caf5f150-0192-4dcd-8321-9d3d7a8ca0c7}\RP314\A0402920.exe');
     DeleteFile('c:\system volume information\_restore{caf5f150-0192-4dcd-8321-9d3d7a8ca0c7}\RP299\A0343870.exe');
    BC_ImportAll;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    2. После перезагрузки выполните такой скрипт:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip'); 
    end.
    3. Файл quarantine1.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;
    Последний раз редактировалось thyrex; 05.07.2011 в 14:06.
    [RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
    [RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
    [RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]

  17. #16
    Junior Member Репутация
    Регистрация
    16.06.2011
    Сообщений
    17
    Вес репутации
    24
    Карантин загрузил.

  18. #17
    Junior Member Репутация
    Регистрация
    16.06.2011
    Сообщений
    17
    Вес репутации
    24
    По-моему про меня забыли...

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Много воды утекло с тех пор...
    Пора сделать новые логи.
    I am not young enough to know everything...

  20. Это понравилось:


  21. #19
    Junior Member Репутация
    Регистрация
    16.06.2011
    Сообщений
    17
    Вес репутации
    24
    Цитата Сообщение от Bratez Посмотреть сообщение
    Много воды утекло с тех пор...
    Пора сделать новые логи.
    В силу обстоятельств не могу часто бывать на сайте, поэтому все рекомендации делаю с опозданием...
    Высылаю новые логи - посмотрите, пожалуйста.
    Вложения Вложения

  22. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Настройка прокси соответствует действительности? -
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.20.0.1:1
    Если нет - пофиксите это в HijackThis.
    Более ничего подозрительного не нахожу.
    Какие проблемы остались?
    I am not young enough to know everything...

  23. Это понравилось:


  • Уважаемый(ая) Peretc, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Баннер при загрузке ОС
      От Evil в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.01.2012, 13:52
    2. Баннер при загрузке windows
      От Mikhail Lekomtsev в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 27.01.2012, 20:27
    3. Баннер при загрузке
      От kyron в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.01.2012, 19:50
    4. Порно баннер при загрузке
      От dimono13 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.01.2011, 16:34
    5. баннер при загрузке
      От fanz в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 12.08.2010, 21:02

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00541 seconds with 21 queries