Показано с 1 по 13 из 13.

Порнобаннер, блокировка ехе, диспетчера, и т.д. (заявка № 61422)

  1. #1
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    31

    Exclamation Порнобаннер, блокировка ехе, диспетчера, и т.д.

    Вот проблема у друга.
    Собственно заключается в том что при попытке запустить какую-то прогу появляется порнобаннер с предложением отправить смс с кодом М20920007, который нельзя закрыть. Иногда лишь помогало right-click по desktop'у и выбрать Свойства. Тогда он пропадал. Но иногда всё кроме него зависало и тогда уже только ресет.

    Запустил MSCONFIG. Нашёл в Инете некоторые проги из закладки автозагрузки - что они являются вирусами и тому подобной нечистью - выключил их там. Перезагрузка - не помогло.
    Потом выбрал Диагностическую загрузку - так же без эффекта.

    Правда в Инете я это нашёл запустив Интернет Эксплорер из папки Program Files/Internet Explorer напрямую. И он работал.

    Вспомнив об вашем сайте - зашёл почитать и нашёл похожие темы. При запуске AVZ - опять баннер, при чём как из обычного так и Безопасного режима. Интернет Эксплорер по ходу в обычном тоже перестал запускаться - только в безопасном.

    Почитав ещё, увидел что у людей работает hijackthis. Запустился и у меня. Просканил и нашёл похожую строчку которую тут советовали пофиксить. (Да, знаю что все случаи уникальны, и т.д., но у меня нету времени тут сидеть весь день и ждать ответа на форуме, поэтому предположив что проблема похожая - то и решение по идеи похожее) Пофиксил и баннер пропал.

    Перезагрузил комп в обычный режим (но всё ещё в диагностичном режиме, что б случаем не загрузилось опять чего-то лишнего) и вот прикрепляю теперь логи AVZ & новый лог hijackthis (до фикса лога нету).

    Прошу подсказать что делать дальше.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,836
    Вес репутации
    916
    1. Пофиксите с помощью HJT:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    2. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\NVUKZ.exe','');
     QuarantineFile('c:\MAD\TRACK\mad.exe','');
     QuarantineFile('C:\xAVx\ReleAsE\xAVy.exe','');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
     DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
     DeleteFile('C:\xAVx\ReleAsE\xAVy.exe');
     DeleteFile('c:\MAD\TRACK\mad.exe');
     DeleteFile('C:\WINDOWS\system32\NVUKZ.exe');
     DelCLSID('{14MAD6M8-1MAD-81AD-JIM6-26OP5G3369085}');
     DelCLSID('{67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521}');
     DelCLSID('{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}');
     DeleteFileMask('C:\xAVx','*.*',true);
     DeleteFileMask('c:\MAD','*.*',true);
     DeleteDirectory('C:\xAVx');
     DeleteDirectory('c:\MAD');
     QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
     RenameFile('C:\WINDOWS\System32\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.bak');
     CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
     DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteRepair(13);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы. Сделайте новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    31
    Я выполнил скрипт и пофиксил в Hijack. После исполнения скрипта в avz и перезагрузки компа в msconfig на вкладке автозагрузка всё ещё есть NVUKZ. Поэтому я не менял с диагностической на обычный режим загрузки ОС.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    13.03.2009
    Адрес
    Ставрополь
    Сообщений
    1,355
    Вес репутации
    129
    Сделайте лог GMER (см. в моей подписи)
    The Truth is Out There

  6. #5
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    31
    Я сделал лог.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    12,836
    Вес репутации
    916
    Переделайте лог. Нужно нажать кнопку Scan

  8. #7
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    31
    Я просканировал прогой Mger і сохранил лог.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    196
    Запустите kmd8lcpz[1].exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
    Код:
    kmd8lcpz[1].exe -del service hyzwcdcmw
    kmd8lcpz[1].exe -del service zvaiski
    kmd8lcpz[1].exe -del file "C:\WINDOWS\system32\vslpufe.dll''
    kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hyzwcdcmw''
    kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zvaiski''
    kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyzwcdcmw''
    kmd8lcpz[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zvaiski''
    kmd8lcpz[1].exe -reboot
    Сделайте новый лог gmer.

  10. #9
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    31
    Я сделал новий лог gmer.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    196
    Запустите hrs0y151[1].exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
    Код:
    hrs0y151[1].exe -del service hyzwcdcmw
    hrs0y151[1].exe -del service zvaiski
    hrs0y151[1].exe -del file "C:\Program Files\Internet Explorer\vslpufe.dll"
    hrs0y151[1].exe -del file "C:\WINDOWS\system32\vslpufe.dll"
    hrs0y151[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hyzwcdcmw"
    hrs0y151[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zvaiski"
    hrs0y151[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyzwcdcmw"
    hrs0y151[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zvaiski"
    hrs0y151[1].exe -reboot
    Сделайте новый лог gmer.
    Последний раз редактировалось snifer67; 29.11.2009 в 20:32.

  12. #11
    Junior Member Репутация
    Регистрация
    13.12.2008
    Адрес
    Ukraine, Lviv
    Сообщений
    38
    Вес репутации
    31
    Сделал опять новий лог gmer.
    Последний раз редактировалось SergSlim; 12.03.2010 в 11:06.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    93,283
    Вес репутации
    2971
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится wgr7h5v0[1].exe (gmer)
    Код:
    wgr7h5v0[1].exe -del service hyzwcdcmw
    wgr7h5v0[1].exe -del service zvaiski
    wgr7h5v0[1].exe -del file "C:\Program Files\Internet Explorer\vslpufe.dll"
    wgr7h5v0[1].exe -del file "C:\WINDOWS\system32\vslpufe.dll"
    wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hyzwcdcmw"
    wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zvaiski"
    wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hyzwcdcmw"
    wgr7h5v0[1].exe -del reg "HKLM\SYSTEM\ControlSet002\Services\zvaiski"
    wgr7h5v0[1].exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    950

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\overlapp32.dll - Trojan.Win32.Delf.rvo ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2775233, NOD32: Win32/Spy.Delf.OAH trojan, AVAST4: Win32:Malware-gen )
      2. c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.ifk ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.2759530, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Zbot-MHI [Trj] )
      3. c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr ( DrWEB: Trojan.WinSpy.380, AVAST4: Win32:Patched-KP [Trj] )


  • Уважаемый(ая) SergSlim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 25.05.2010, 22:23
    2. Порнобаннер + отключен диспетчер задач
      От arva в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.04.2010, 22:28
    3. Порнобаннер, блокировка ПК
      От Hoboz в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.04.2010, 11:13
    4. Порнобаннер и проблема с диспетчером задач
      От Herus Dlinus в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.03.2010, 12:52
    5. Блокировка диспетчера задач
      От DIAMOND в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 02:01

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00094 seconds with 17 queries