Показано с 1 по 10 из 10.

Блокировка системы порнобаннером (заявка № 73878)

  1. #1
    Junior Member Репутация
    Регистрация
    01.09.2009
    Сообщений
    31
    Вес репутации
    31

    Exclamation Блокировка системы порнобаннером

    Блокировка системы порнобаннером.
    Блокировка полная, предложение прислать смс на номера 5370,5373, 7250 с текстом 154650.
    Пробовала всякие деблокираторы, не помогает, это что-то из новенького, прилетела 16-го марта.
    Еще раз уточняю, что блокируется все как в основнм, так и в безопасном режимах.
    Удалось зайти в безопасном с уч.записью Администратора, чистый рабочий стол, но по CTRL+ALT+DEL загрузилось приложение Prowise Manager.
    Здесь можно запустить какие-либо приложения.
    Дважды отработал Drweb Curelt (Первый раз нашел вирусы, вчера вечером со свежескаченной утилитой - нет), Запустился и отработал AVP Tools (Virus Removal Tool 9.00.722 - 16 марта).
    AVZ В безопасном запускается, скрипты отрабатывают, но протоколы не сохраняет, поэтому не смогу выслать).
    Утилита HiJackThis не стартует.
    Переустановка Windows не желательно, т.к. машина рабочая и там много чего.
    Помогите!!!!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    - попробуйте в нормальном режиме сделать логи AVZ, воспользовавшись комбинацией клавиш WIN+U

    - ну или в безопасном режиме сделайте лог MBAM и лог Gmer
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  4. #3
    Junior Member Репутация
    Регистрация
    01.09.2009
    Сообщений
    31
    Вес репутации
    31
    Продолжаю.
    Сегодня с утра баннер висел (последняя чистка Curelt-ом была вчера вечером), потом пыталась несколько раз перезагружаться и вводить коды из предлагаемых программами "деблокираторами".
    В результате очередной перезагрузки пропал баннер, но и с ним пропал Рабочий стол.
    Что отключило этот баннер - загадка! Вообще,
    Добавлю, что на компе стоит DrWeb Interprise Server лицензионный, с него обновляются все рабочие станции предприятия.
    Сейчас все рабочие станции и сеть мой компьютер видит, но хочется вернуть рабочий стол.
    Восстановление реестра от 09 марта 2010г ситуацию не исправил.
    Сейчас отправляю протоколы в соответствии с правилами.
    Хочется избежать переустановки ОС.
    Один протокол из AVZ еще работает, поэтому пока высылаю имеющиеся.
    Последний раз редактировалось GsT; 27.05.2010 в 09:40.

  5. #4
    Junior Member Репутация
    Регистрация
    01.09.2009
    Сообщений
    31
    Вес репутации
    31
    Извините, были ошибочно отправлены логи с другого компа. Повторяю.
    Последний раз редактировалось GsT; 27.05.2010 в 09:40.

  6. #5
    Junior Member Репутация
    Регистрация
    01.09.2009
    Сообщений
    31
    Вес репутации
    31
    Неужели такой безнадежный случай?
    Рабочий день заканчивается, разница с Москвой на 4 часа. Ответьте, пжлста, с утра завтра порадуюсь. Спасибо.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Пофиксите в Hijackthis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mrcmgr.exe,C:\WINDOWS\system32\pdbcopy.exe,
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\drwuninst.exe','');
     QuarantineFile('C:\WINDOWS\system32\pdbcopy.exe','');
     QuarantineFile('C:\WINDOWS\system32\mrcmgr.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ethyjalq.sys','');
     QuarantineFile('C:\Documents and Settings\Liska\Local Settings\Temporary Internet Files\Content.IE5\NGS43A5S\xxx_video_608503[1][1].avi.exe','');
     DeleteService('Winyw52');
     DeleteService('Winys63');
     DeleteService('Winyl52');
     DeleteService('Winxr72');
     DeleteService('Winwj74');
     DeleteService('Winwf70');
     DeleteService('Winsq26');
     DeleteService('Winpn83');
     DeleteService('Winox41');
     DeleteService('Winmd06');
     DeleteService('Winlr06');
     DeleteService('Winlq81');
     DeleteService('Winkh77');
     DeleteService('Winjo63');
     DeleteService('Winjo28');
     DeleteService('Winje04');
     DeleteService('Winjd04');
     DeleteService('Winhp68');
     DeleteService('Wingh74');
     DeleteService('Wingd26');
     DeleteService('Winfh83');
     DeleteService('Windm06');
     DeleteService('Wincs37');
     DeleteService('Wincc02');
     DeleteService('Winbn04');
     DeleteService('Winaq13');
     DeleteService('ethyjalq');
     DeleteFile('C:\WINDOWS\system32\drivers\ethyjalq.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winaq13.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbn04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincc02.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincs37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windm06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfh83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingd26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingh74.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhp68.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjd04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winje04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo28.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkh77.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlq81.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlr06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmd06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winox41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpn83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsq26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwf70.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwj74.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxr72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyl52.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winys63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyw52.sys');
     DeleteFile('C:\Documents and Settings\Liska\Local Settings\Temporary Internet Files\Content.IE5\NGS43A5S\xxx_video_608503[1][1].avi.exe');
     DeleteFile('C:\WINDOWS\system32\mrcmgr.exe');
     DeleteFile('C:\WINDOWS\system32\pdbcopy.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16);
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

  8. #7
    Junior Member Репутация
    Регистрация
    01.09.2009
    Сообщений
    31
    Вес репутации
    31
    Спасибо, Рабочий стол загрузился сразу после того, как пофиксили. Скрипт в AVZ тоже выполнила. Высылаю новые протоколы. Еще раз спасибо.
    Последний раз редактировалось GsT; 27.05.2010 в 09:40.

  9. #8
    Junior Member Репутация
    Регистрация
    01.09.2009
    Сообщений
    31
    Вес репутации
    31
    Напишите, пжлста, у меня все нормально на компе после последних протоколов? Можно ни о чем не беспокоится и продолжать работать? Если так, то можно закрыть тему. Спасибо.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Вот об это надо беспокоиться: Platform: Windows XP SP2 (WinNT 5.01.2600)
    Не обновите, заразитесь по новой.

    Выполнить для зачистки:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Winys63');
    BC_DeleteSvc('Winwj74');
    BC_DeleteSvc('Winsq26');
    BC_DeleteSvc('Winpn83');
    BC_DeleteSvc('Winlq81');
    BC_DeleteSvc('Winkh77');
    BC_DeleteSvc('Winjo63');
    BC_DeleteSvc('Winjo28');
    BC_DeleteSvc('Winjd04');
    BC_DeleteSvc('Winhp68');
    BC_DeleteSvc('Wingh74');
    BC_DeleteSvc('Wingd26');
    BC_DeleteSvc('Winfh83');
    BC_DeleteSvc('Windm06');
    BC_DeleteSvc('Wincs37');
    BC_DeleteSvc('Wincc02');
    BC_DeleteSvc('protect');
     DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincc02.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincs37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windm06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfh83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingd26.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingh74.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhp68.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjd04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo28.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winjo63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkh77.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlq81.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winox41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpn83.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winys63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwj74.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsq26.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Логи повторить после перезагрузки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) GsT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Блокировка системы.
      От Hel1979 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.06.2011, 01:39
    2. блокировка системы
      От Linx1993 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 08.12.2010, 22:34
    3. БЛОКИРОВКА СИСТЕМЫ
      От spaceman46 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.09.2010, 13:05
    4. CSRCS.exe и блокировка системы
      От D.D в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 23.09.2009, 11:19
    5. Блокировка системы и смс
      От makc74 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.04.2009, 06:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00327 seconds with 16 queries