Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

Опять два Порно банера подряд (заявка № 78816)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    15
    Вес репутации
    28

    Thumbs up Опять два Порно банера подряд

    проблема аналогичная теме "Два! Порно банера подряд"
    http://virusinfo.info/showthread.php?t=78651

    прикладываю логи

    заранее огромное спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Логи с LiveCD бесполезны. Работа с реестром возможна из этого LiveCD?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    15
    Вес репутации
    28
    Цитата Сообщение от PavelA Посмотреть сообщение
    Логи с LiveCD бесполезны. Работа с реестром возможна из этого LiveCD?
    да, возможна.

    Добавлено через 13 минут

    так что надо сделать?
    Последний раз редактировалось s1ned; 19.05.2010 в 16:40. Причина: Добавлено

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windowsпараметр
    Код:
    AppInit_DLLs

    Содержимое этого параметра в своем сообщении напишите
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    15
    Вес репутации
    28
    открыл файл regedit.exe с С:\windows
    данный параметр оказался нулевым.

  7. #6
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    15
    Вес репутации
    28
    все-таки удалось запустить AVZ с зараженного виндоуса.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
     DeleteFile('C:\Documents and Settings\All Users\systems.exe');
     ExecuteRepair(11);
     ExecuteRepair(17);
    
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Плюс лог ComboFix сделайте.
    Карантин надо будет прислать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    15
    Вес репутации
    28
    а есть разница в выполнении этого скрипка через LiveCD или через зараженный винд? Просто в последнем я нему включить AVZ, а с LiveCD результатов не дал.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от s1ned Посмотреть сообщение
    а есть разница в выполнении этого скрипка через LiveCD или через зараженный винд?
    Есть и очень большая. Если можете, то убейте C:\Documents and Settings\All Users\systems.exe, а потом будем долечиваться.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Цитата Сообщение от PavelA Посмотреть сообщение
    Если можете, то убейте C:\Documents and Settings\All Users\systems.exe
    Не убивайте, а переименуйте. Образец нужен вирлабу

    И лог ComboFix не забудьте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    15
    Вес репутации
    28
    Цитата Сообщение от PavelA Посмотреть сообщение
    Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windowsпараметр
    Код:
    AppInit_DLLs

    Содержимое этого параметра в своем сообщении напишите
    оказался там файл
    C:\WINDOWS\system32\reyhup.dll


    Цитата Сообщение от thyrex Посмотреть сообщение
    Не убивайте, а переименуйте. Образец нужен вирлабу

    И лог ComboFix не забудьте
    сохранил

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\reyhup.dll','');
     DeleteFile('C:\WINDOWS\system32\reyhup.dll');
     ExecuteRepair(11);
     ExecuteRepair(17);
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Карантин прислать в обязательном порядке.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Где лог ComboFix?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    15
    Вес репутации
    28
    все сделал

  16. #15
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    15
    Вес репутации
    28
    необходимо ставить пароль на zip-архивы карантийных файлов (что-то winzip не дает такой возможности)?

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\uml.dll
    c:\windows\system32\dvevbfas.dll
    c:\windows\system32\yvt.dll
    c:\windows\system32\ne.dll
    c:\windows\system32\uljvoa.dll
    c:\windows\system32\rgpr.dll
    c:\windows\system32\pcprdbst.dll
    c:\windows\system32\mbhyeh.dll
    c:\windows\system32\dpte.dll
    c:\documents and settings\All Users\config.bat
    c:\documents and settings\All Users\ret.bat
    c:\documents and settings\All Users\hide.bat
    c:\windows\system32\iimhd.dll
    c:\windows\system32\bq.dll
    
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    15
    Вес репутации
    28
    сделал

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Такое ощущение, что скрипт из сообщения №16 не выполняли даже. Переделайте еще раз
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    15
    Вес репутации
    28
    да, мой косяк. Сделал первый раз без "консоли восстановления". Сейчас вроде все ОК.

    ЗЫ: карантины можно без пароля прислать?

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

    Удалите ComboFix

    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
    O4 - HKLM\..\Run: [GEST] m‘|\ь
    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Новый лог HiJack сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) s1ned, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Последствия после порно банера
      От bentel в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 01.10.2011, 10:01
    2. последствия порно банера... Помогите!
      От Foolle в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 30.06.2010, 14:24
    3. Два! Порно банера подряд
      От Ниид хелп в разделе Помогите!
      Ответов: 33
      Последнее сообщение: 23.05.2010, 10:17
    4. Последствия порно-банера. (заявка №3147)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 11.02.2010, 09:09
    5. Опять просят выслать смс (окно банера)
      От Silentium в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 29.01.2010, 16:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01449 seconds with 16 queries