Показано с 1 по 16 из 16.

Баннер М201017211 на номер 3381 (заявка № 78853)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    40
    Вес репутации
    29

    Thumbs up Баннер М201017211 на номер 3381

    Здравствуйте, уважаемые специалисты. Подхватил полупрозрачный баннер с двумя девушками. Просят отправить М201017211 на номер 3381. Коды разблокировки не помогают.
    Восстановление системы отключено, exe-ки не запускаются. Попытка запустить AVZ приводит к выключению машины. Переименовывание AVZ в pics.pic ничего не меняет. HJT не запускается из-за политики ограничения. Даже папку с HJT невозможно открыть - сразу рестарт. CureIt! запускается и сообщает, что обнаружены вирусы RC=3221225477 после нажатия на ОК - ничего. Из браузеров запускается IE.
    В общем вот так.
    Как Вы понимаете, логов пока нет. Надеюсь на Вашу помощь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,539
    Вес репутации
    3021
    Live CD с возможностью смотреть и исправлять в реестре есть под рукой (сможете найти)? Например, ERD Commander
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    40
    Вес репутации
    29
    Загрузился с Live CD. В реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ есть параметр AppInit_DLLs но значение не присвоено.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,539
    Вес репутации
    3021
    Какой Live CD используете?

    Делали так http://virusinfo.info/showpost.php?p=593031&postcount=1 ?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    40
    Вес репутации
    29
    Какой Live CD используете?
    Live CD на базе INFR@ CD.
    Спасибо, сейчас так и сделал. Получилось. Поймал гаденыша и упаковал его в архив.

    А вот и логи, кроме HJT, т.к. он не запускается из-зи групповой политики (тут, я думаю, надо выполнить операцию (1) из Файл - Восстановление системы)

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,539
    Вес репутации
    3021
    Цитата Сообщение от Black_moon Посмотреть сообщение
    Поймал гаденыша и упаковал его в архив.
    Пришлите архив (запакованный с паролем virus) по красной ссылке Прислать запрошенный карантин вверху темы

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('\\?\globalroot\systemroot\system32\nxUEggt.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
     QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
     DeleteFile('C:\WINDOWS\system32\srnh.lto');
     DeleteFile('C:\Documents and Settings\All Users\systems.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
     DeleteFile('\\?\globalroot\systemroot\system32\nxUEggt.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(11);
    ExecuteRepair(16);
    ExecuteRepair(17);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи. Попробуйте сделать лог HiJack
    Также сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    40
    Вес репутации
    29
    Свежие логи.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,539
    Вес репутации
    3021
    А это как же?
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пофиксите в HiJack
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\nxUEggt.exe,
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    40
    Вес репутации
    29

    ComboFix

    лог comboFix

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,539
    Вес репутации
    3021
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\fqpqavs.dll
    c:\windows\system32\ehcujm.dll
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    40
    Вес репутации
    29
    Второй лог после выполнения скрипта. Надеюсь, что все в порядке.... Только сейчас заметил, что пропала языковая панель. И в Панели управления "язык и региональные стандарты" не запускаются. Я думаю и эту проблему решим, только не прямо сейчас. БОЛЬШОЕ спасибо, thyrex, за оказанную помощь.
    Последний раз редактировалось Black_moon; 21.05.2010 в 00:50.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,539
    Вес репутации
    3021
    Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

    Удалите ComboFix

    Сделайте новый лог HiJack
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    40
    Вес репутации
    29
    Лог HJT

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    В логе чисто.

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - Обновите Java .
    - поставте Adobe Reader 9.3 или удалите старый.

  16. #15
    Junior Member Репутация
    Регистрация
    19.05.2010
    Сообщений
    40
    Вес репутации
    29
    - поставте Adobe Reader 9.3 или удалите старый.
    Поставил новый.
    - Обновите Java .
    Яву обновил.
    - Поставте все последние обновления системы Windows - тут
    В процессе.
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    Не использую, но установил.
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    Попробую обновиться.
    Нда, отстал я от жизни...
    Спасибо за скорую помощь polword-у и особенно thyrex-у.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. \nmzzkyo.dll - Worm.Win32.NeKav.ck ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Black_moon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Порно баннер на номер 3381
      От Valdvd в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.06.2010, 15:49
    2. Баннер на номер 3381
      От Ftpmail в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 26.05.2010, 21:30
    3. Баннер на номер 3381 (M201717655)
      От Sergebambel в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 25.05.2010, 10:04
    4. Баннер-вирус на номер 3381
      От MarkLaren в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.05.2010, 20:12
    5. баннер M201117435 на номер 3381
      От Alex_2 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 21.05.2010, 18:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01277 seconds with 16 queries