Junior Member
Вес репутации
51
Банер требующий отправить смс ( 3pic.com)
Появился банер при старте windows требующий отправить смс на номер 5121 с текстом 1101052. Сам банер желтого цвета и неценрурными фото с сайтом 3Pic.com
Заранее спасибо.
Помог код: 1) 1078376871
2) 2856494592
Но если чтото осталось, напишите какой скрипт выполнить, чтобы это не повторилось
Последний раз редактировалось voidex; 06.05.2010 в 00:06 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\apRkeiG.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
QuarantineFile('C:\WINDOWS\alg.exe','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
QuarantineFile(':\WINDOWS\system32\srr.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke139.exe','');
DeleteService('Wyeke Service');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke139.exe');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFileMask('C:\Program Files\Ask.com', '*.*', true);
DeleteDirectory('C:\Program Files\Ask.com');
DeleteFile('C:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Wyeke', '*.*', true);
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Wyeke');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи в нормальном режиме
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Здравствуйте.
Пофиксите
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\apRkeiG.exe,
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
QuarantineFile('C:\WINDOWS\alg.exe','');
QuarantineFile('%system32%\apRkeiG.exe','');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
DeleteFile('C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job;
DeleteFile('C:\WINDOWS\alg.exe');
DeleteFile('%system32%\apRkeiG.exe');
DeleteFileMask('C:\Program Files\Ask.com','*.*',true);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Junior Member
Вес репутации
51
Вложения
Отключите восстановление системы!
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\alg.exe','');
QuarantineFile(':\WINDOWS\system32\srr','');
DeleteFile('C:\DOCUME~1\strog\LOCALS~1\Temp\SXO567.tmp');
DeleteFile('C:\WINDOWS\alg.exe');
DeleteService('GarenaPEngine');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Junior Member
Вес репутации
51
Junior Member
Вес репутации
51
А где это именно сделать? в какой программе?
Сообщение от
voidex
А где это именно сделать? в какой программе?
http://virusinfo.info/showthread.php?t=53070
Junior Member
Вес репутации
51
MBAM лог
ps. lazylaunch.exe это не вирус
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\activationmanager.activationmanager (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\activationmanager.activationmanager.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\adstechnology.adstechnology (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\adstechnology.adstechnology.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{831cbac4-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{831cbac0-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{831cbac3-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{831cbac2-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{86a44ef9-78fc-4e18-a564-b18f806f7f56} (Trojan.MultiDefender) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac0-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{831cbac0-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\Software\Wyeke (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Comet (Adware.Comet) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Зараженные папки:
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
Зараженные файлы:
C:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\winlogon.Del (Heuristics.Reserved.Word.Exploit) -> No action taken.
Сделайте новый лог МВАМ
З.Ы. Service Pack 3 на Windows не устанавливаем из-за StarCraft I (первый)?
Junior Member
Вес репутации
51
вот новый лог MBAM
Starcraft 2 появился после того как я пробовал ставить SP3
причем sp3 не захотел ставиться,не знаю почему, но остальные заплатки ставились нормально.
Проверим один файл, выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll ',' ');
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Junior Member
Вес репутации
51
выполнил скрипт 2 раза, карантин пустой
мне кажеться помима банера, уже все что было из вирусов поудалялось
Если я правильно понял, то проблем больше нет.
Windows XP SP2 рекомендовал бы обновить до Windows XP SP3
Junior Member
Вес репутации
51
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 18 В ходе лечения вредоносные программы в карантинах не обнаружены