Показано с 1 по 12 из 12.

DownloadMaster (заявка № 65321)

  1. #1
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    12
    Вес репутации
    29

    Thumbs up DownloadMaster

    Начну по порядку, суть проблемы СМС вымогатель скриншот приведен ниже:
    Система вин ХР ср3, Антивирусник (Avira обновлял на кануне заражения) работать перестал, зловред не дает запускать никакие ехе, сом, смд и другие исполняемые файлы, или перезагрузка или опять всплывает баннер, баннер можно убрать правой кнопкой по рабочему столу – «свойства»
    из того что попробовал:
    - Вызов диспетчера задач 3 кнопками(Ctrl+Alt+Del) не дает результата;
    - точка восстановления не отключается, запрещено политикой;
    - CureIt - не запустился;
    - AVPTool – не запустился;
    - AVZ и AVZ polymorf – не запустился;
    - osam – не запустился;
    - gmer\get4 – не запустился;
    - Запуск интернет эксплорера через экранную лупу не помогает;
    - hiJackThis – работает только переименованный с смд файлом(thx кто сделал его);
    Код:
    R3 - URLSearchHook: (no name) -  - (no file) – был пофиксен;
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe – не было в списке;
    O20 - AppInit_DLLs: C:\WINDOWS\system32\nbnlml.dll – в игнор листе был пофиксен;
    O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - JVMOD32.DLL (file missing) – не было в списке;
    O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe – не было в списке;
    O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe – не было в списке;
    O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe – не было в списке;
    O20 - AppInit_DLLs: C:\WINDOWS\system32\cntsqa.dll – не было в списке;
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 – бфл пофиксен;
    O20 - AppInit_DLLs: C:\WINDOWS\system32\gke.dll - не было в списке;
    Лог прилагаю.

    Из live CD попробовал DrWeb ничего не было найдено, кроме archive OLE в hiJackThis.
    Последний раз редактировалось 8t88; 22.01.2011 в 04:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Из под LiveCD почистите все временные папки (Temp, Temporary Internet Files) во всех аккаунтах. Затем пробуйте сделать логи.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    198
    1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
    2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
    3) Запустить утилиту AVPTool и провести полное сканирование ПК;
    4) Перезагрузить компьютер.

  5. #4
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    12
    Вес репутации
    29
    удаление файлов не помогло но помог ввод кода(сенк кто нашел закономерность):
    «0» в тексте – «8» в коде
    «1» в тексте – «9» в коде
    «2» в тексте – «1» в коде
    «3» в тексте -«2»
    «4» в тексте – «3»
    «М»в тексте – «3»
    «5» в тексте – «4»
    «6» в тексте – «5»
    «7» в тексте – «6»
    «8» в тексте – «7»
    «9» в тексте – «8»
    «К» в тексте – «1»

    15.12.2009 -дата
    После запуска Gmer перезагрузка
    Новые логи:
    - AVZ polymorf;
    - osam;
    - Combofix
    - hiJackThis:

    ЗЫ: поставил на проверку AVPTool.
    Последний раз редактировалось 8t88; 22.01.2011 в 04:12.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    198
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\xwfvcmq.dll','');
    QuarantineFile('c:\windows\system32\xjeudwab.dll','');
    QuarantineFile('c:\windows\system32\uaazbs.dll','');
    QuarantineFile('c:\windows\system32\tzm.dll','');
    QuarantineFile('c:\windows\system32\mmptdf.dll','');
    QuarantineFile('c:\windows\system32\le.dll','');
    QuarantineFile('c:\windows\system32\gza.dll','');
    QuarantineFile('c:\windows\system32\ettfoigs.dll','');
    QuarantineFile('c:\windows\system32\di.dll','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  7. #6
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    12
    Вес репутации
    29
    скрипт выполнил
    файл virus.zip загрузил
    Файл сохранён как 091229_001510_virus_4b391fde8e0e5.zip
    Размер файла 1053596
    MD5 bc167da75b9cbedf21caf855153f443e
    вот новые логи:
    Последний раз редактировалось 8t88; 22.01.2011 в 04:12.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,222
    Вес репутации
    3015
    Логи AVZ сделайте обычной версией (не забыв обновить базы), а не полиморфом
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    12
    Вес репутации
    29
    обновил avz и комбофикс, сделал логи:
    Последний раз редактировалось 8t88; 22.01.2011 в 04:12.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    198
    Чисто.Что с проблемой ?

    Установите Internet Explorer 8

  11. #10
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    12
    Вес репутации
    29
    Цитата Сообщение от snifer67 Посмотреть сообщение
    Чисто.Что с проблемой ?

    Установите Internet Explorer 8
    все вроде бы ок
    а ie 8 обязательно устанавливать?

    thx за помощь
    Последний раз редактировалось 8t88; 29.12.2009 в 21:24.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    IE обязательно обновить.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\di.dll - Packed.Win32.Krap.w
      2. c:\windows\system32\ettfoigs.dll - Packed.Win32.Krap.w
      3. c:\windows\system32\gza.dll - Packed.Win32.Krap.w
      4. c:\windows\system32\le.dll - Packed.Win32.Krap.w
      5. c:\windows\system32\mmptdf.dll - Packed.Win32.Krap.w
      6. c:\windows\system32\tzm.dll - Packed.Win32.Krap.w
      7. c:\windows\system32\uaazbs.dll - Packed.Win32.Krap.w
      8. c:\windows\system32\xjeudwab.dll - Packed.Win32.Krap.w
      9. c:\windows\system32\xwfvcmq.dll - Packed.Win32.Krap.w


  • Уважаемый(ая) 8t88, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Самостоятельный запуск DownloadMaster
      От Равиль Акмаев в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 02.07.2012, 21:28
    2. Ответов: 16
      Последнее сообщение: 05.01.2010, 17:43
    3. Ответов: 5
      Последнее сообщение: 30.12.2009, 00:43
    4. Ответов: 4
      Последнее сообщение: 28.12.2009, 16:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00758 seconds with 16 queries