Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 34.

Два! Порно банера подряд (заявка № 78651)

  1. #1
    Junior Member Репутация
    Регистрация
    29.05.2009
    Сообщений
    19
    Вес репутации
    55

    Thumbs up Два! Порно банера подряд

    История такова >
    Появился порно банер просящий отослать смс с текстом 1011243 на номер 5121
    к нему я подобрал код и он исчез,
    но практически сразу выскочил новый баннер
    просящий отослать текст М201017171 на номер 3381
    к этому коды не подошли.
    Мало того , не даёт запустить AVZ ни полиморфный ни обычный переименованный ни к каком режиме.
    С LIveCD запускал AVZ и др антивирусники - вирусов не нашли .
    А вот hijackthis запустить удалось на заражённой системе .
    Вот так , помогите в очередной раз пожалуйста ..

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
    перезагрузитесь

    попробуйте выполнить скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
     DeleteFile('C:\WINDOWS\system32\srnh.lto');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(16);
     ExecuteRepair(11);
     ExecuteRepair(17);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.

  4. #3
    Junior Member Репутация
    Регистрация
    29.05.2009
    Сообщений
    19
    Вес репутации
    55
    Профиксил в HijackThis .
    Перезагрузил.
    AVZ не запускается и сразу комп выключается.
    Проблемы остались те же ..Баннер с текстом М201017171 на номер 3381
    В безопастном режиме тоже самое.

    P.S> Могу скрипт выполнить в AVZ с Live CD . Но я так понял это го делать не надо ?
    Могу попробовать вручную удалить файл по адресу C:\WINDOWS\system32\srnh.lto , надо ?
    Последний раз редактировалось Ниид хелп; 18.05.2010 в 19:42.

  5. #4
    Junior Member Репутация
    Регистрация
    29.05.2009
    Сообщений
    19
    Вес репутации
    55
    Водил коды собранные с этой ветки форума у кого тоже баннер с номером 3381-
    не подходят..
    Как только не переименовывал AVZ - не запускается ни в безопастном режиме
    ни под другой учётной записью.

    А ведь некоторым тут подбирали как то код под этот номер .
    Может дадите ссылочку на алгоритм подбора - сам попробую подобрать ..

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Ниид хелп Посмотреть сообщение
    P.S> Могу скрипт выполнить в AVZ с Live CD . Но я так понял это го делать не надо ?
    Нет, нужен другой подход

    Ваш Live CD с возможностью просмотра и правки реестра?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    29.05.2009
    Сообщений
    19
    Вес репутации
    55
    Цитата Сообщение от thyrex Посмотреть сообщение
    Нет, нужен другой подход

    Ваш Live CD с возможностью просмотра и правки реестра?
    Да, умею пользоваться .Всё готово для начала работы .( LIveCD загружен)
    Последний раз редактировалось Ниид хелп; 19.05.2010 в 08:33.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs
    Содержимое этого параметра в своем сообщении напишите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    29.05.2009
    Сообщений
    19
    Вес репутации
    55
    AppInit_DLLs / тип: REG_SZ / значение : пусто ( ничего нет)

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Это параметры из загруженного куста?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Попробуйте поискать упоминания в реестре файла systems.exe

    Также с помощью LiveCD посмотрите содержимое файла win.ini в папке system32 на предмет записей с подозрительными именами файлов
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    29.05.2009
    Сообщений
    19
    Вес репутации
    55
    Цитата Сообщение от PavelA Посмотреть сообщение
    Это параметры из загруженного куста?
    Да, конечно

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сообщение №10 посмотрите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    29.05.2009
    Сообщений
    19
    Вес репутации
    55
    Цитата Сообщение от thyrex Посмотреть сообщение
    Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs
    Содержимое этого параметра в своем сообщении напишите
    Прошу прощения я ошибся . Вот содержание из выгруженного куста

    C:\WINDOWS\system32\nvcpl.chm:QRNluaM

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    C:\WINDOWS\system32\nvcpl.chm:QRNluaM -- найдите и куда-нибудь скопируйте. В реестре этот ключ почистите.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #15
    Junior Member Репутация
    Регистрация
    29.05.2009
    Сообщений
    19
    Вес репутации
    55
    Цитата Сообщение от PavelA Посмотреть сообщение
    C:\WINDOWS\system32\nvcpl.chm:QRNluaM -- найдите и куда-нибудь скопируйте. В реестре этот ключ почистите.
    Нашёл только два файла nvcpl.chm ( без QRNluaM)- скопировал .
    Ключ в реестре почистил . Куст выгрузил .



    Цитата Сообщение от thyrex Посмотреть сообщение
    Попробуйте поискать упоминания в реестре файла systems.exe
    такой файл есть в C:\Documents and Settings\All Users\systems.exe (смотрел проводником не через реестр)

    Пробовать запустить заражённую машину ?

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    такой файл есть в C:\Documents and Settings\All Users\systems.exe (смотрел проводником не через реестр)
    ---
    Переименовать его и попробовать запуститься.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Ниид хелп Посмотреть сообщение
    Нашёл только два файла nvcpl.chm ( без QRNluaM)- скопировал .
    Если удастся загрузиться, поищете потом C:\WINDOWS\system32\nvcpl.chm:QRNluaM
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    29.05.2009
    Сообщений
    19
    Вес репутации
    55
    Цитата Сообщение от thyrex Посмотреть сообщение
    Если удастся загрузиться, поищете потом C:\WINDOWS\system32\nvcpl.chm:QRNluaM


    Загрузился, следов явных вируса нет, тоесть работают все программы и команды по администрированию ,интернет работает.
    Правда диспетчер задач не открывается , пишет : отключен администратором
    ну и касперский на запускается то же ,пишет : невозможно открыть из за политики ограничения



    nvcpl.chm:QRNluaM так и не найден .



    Цитата Сообщение от PavelA Посмотреть сообщение
    C:\WINDOWS\system32\nvcpl.chm:QRNluaM -- найдите и куда-нибудь скопируйте. В реестре этот ключ почистите.


    Скопирован в папку C:\infi



    Запусил AVZ переименованным в explorer.exe
    Запустил hijackthis переименованным в Hyujaka.exe


    Вот лог
    Последний раз редактировалось Ниид хелп; 19.05.2010 в 12:28.

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    QuarantineFile('C:\WINDOWS\system32\nvcpl.chm:QRNluaM:$DATA','');
    ExecuteRepair(11);
    ExecuteRepair(17);
    ExecuteRepair(6);
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Карантин пришлите по Правилам.
    Сделайте лог утилитой MBAM. удалять в ней ничего не надо.
    "Восстановление системы" надо будет отключить.
    Последний раз редактировалось PavelA; 19.05.2010 в 12:37.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\nvcpl.chm:QRNluaM:$DATA','');
     QuarantineFile('C:\infi\nvcpl.chm:QRNluaM:$DATA','');
     DeleteFile('C:\infi\nvcpl.chm:QRNluaM:$DATA');
     DeleteFile('C:\WINDOWS\system32\nvcpl.chm:QRNluaM:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(11);
    ExecuteRepair(17);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Переименованный C:\Documents and Settings\All Users\systems.exe запакуйте с паролем virus и также пришлите по красной ссылке

    Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Ниид хелп, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Последствия после порно банера
      От bentel в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.10.2011, 11:01
    2. последствия порно банера... Помогите!
      От Foolle в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 30.06.2010, 15:24
    3. Опять два Порно банера подряд
      От s1ned в разделе Помогите!
      Ответов: 28
      Последнее сообщение: 22.05.2010, 11:31
    4. Последствия порно-банера. (заявка №3147)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 11.02.2010, 09:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01434 seconds with 19 queries