Показано с 1 по 12 из 12.

Проблемы после разлочки порнобаннеров (заявка № 78898)

  1. #1
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    6
    Вес репутации
    29

    Thumbs up Проблемы после разлочки порнобаннеров

    Добрый день, уважаемые!

    Проблема состоит в следующем.
    Появился порнобаннер с параметрами: смс на номер 5121 содержание 1011256. Разблочил с помощью деблокера-касперского.

    Диспечер задач на ctrl-alt-del не вызывается, на остальные программы реагирует странно - что-то не запускает вообще, что-то запускает и закрывает, что-то приводит к зависанию, что-то к перезагрузке, что-то к просто выключению.

    Загрузился через LIVE-CD (какой-то сделанный с BART-PE Builder), прогнал свежего Virus Removal Tool (слит через флеш с другой машины). Найдено несколько троянов, все удалены.

    На всякий случай после этого прогнал AVR 4.32 - чисто.

    Перезагрузка с диска C: - все то же самое, что и до чистки.
    В придачу получил еще один баннер с парой блондиночек - также снял деблокером.
    Логи AVR сделать не получается - комп то виснет, то уходит в ребут. Успел до зависания прогнать только HiJackThis.

    P.S.: На всякий случай - ERD Commander на лайв-сд есть.
    P.P.S.: Также на всякий случай - HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    для AppInit_DLLs дата C:\WINDOWS\system32\rg.dll

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Пофиксте в HijackThis следующие строки:
    F2 - REG:system.ini: Shell=explorer.exe rundll32.exe srnh.lto iqfnr
    O4 - HKLM\..\Run: [Generic Host for Win32 Services] юяяяp
    O4 - HKCU\..\Run: [Shell] C:\Documents and Settings\All Users\systems.exe
    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    ExecuteWizard('TSW', 2, 2, true);
     QuarantineFile('C:\WINDOWS\system32\rg.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
     QuarantineFile('srnh.lto','');
     DeleteFile('C:\Documents and Settings\All Users\systems.exe');
     DeleteFile('srnh.lto');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
    Попробуйте сделать логи AVZ.

  4. #3
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    6
    Вес репутации
    29
    Пофиксить Хайджеком не получается - при попытке запуска Хайджека cистема перезагружается.
    Помимо этого периодически вылетает ошибка при загрузке файла srnh.lto (не найден указанный модуль). Также пару раз мелькал на долю секунды второй порнобаннер.

    Апдейт: Хайджек пофиксил, при прогоне скрипта появилась надпись "Скрипт выполнен без ошибок", но перезагружать не хочет ни в каком виде. только через кнопку Power.
    Последний раз редактировалось Krosh; 20.05.2010 в 14:20. Причина: добавление информации

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    Цитата Сообщение от Krosh Посмотреть сообщение
    Также на всякий случай - HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    для AppInit_DLLs дата C:\WINDOWS\system32\rg.dll
    С помощью ERD Commander файл переименуйте и очистите содержимое параметра AppInit_DLLs
    Также переименуйте (но не удаляйте) C:\Documents and Settings\All Users\systems.exe

    Баннер должен пропасть. После этого выполняйте правила в полном объеме + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    6
    Вес репутации
    29
    Промежуточные итоги:
    С помощью ERD Comm пофиксил реестр, переименовал rg.dll. Файл systems.exe не нашел - видимо касперский потер его при первом проходе.

    После этого загрузился, сделал три основных лога, а вот с Combofix какая-то проблема. То есть он запускается, "зеленый бегунок" доходит до конца полоски и все. Ни новых окон, ни файла Сombofix.txt нет. Проверил на всякий случай по всем локальным дискам - пусто.

    rg.dll отправляю как запрошенный.
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    В папке system32 нужно поискать другие dll-файлы вот такого размера 135168, упаковать их с паролем virus и прислать по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    6
    Вес репутации
    29
    Отправлено.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    Все dll-файлы с датой 22.11.2005 (будьте внимательны, пожалуйста) удаляйте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    6
    Вес репутации
    29
    Сделано.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,559
    Вес репутации
    3022
    Чисто

    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    20.05.2010
    Сообщений
    6
    Вес репутации
    29
    Премного благодарен за помощь.
    Удачи в делах!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\rg.dll - Worm.Win32.NeKav.ck ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )
      2. \fsreae.dll - Worm.Win32.NeKav.ck ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )
      3. \jucmeh.dll - Worm.Win32.NeKav.ck ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )
      4. \od.dll - Worm.Win32.NeKav.ck ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )
      5. \pndv.dll - Worm.Win32.NeKav.ck ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )
      6. \rg.vir - Worm.Win32.NeKav.ck ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )
      7. \rpjtee.dll - Worm.Win32.NeKav.ck ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )
      8. \xr.dll - Worm.Win32.NeKav.ck ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )
      9. \ylxmzz.dll - Worm.Win32.NeKav.ck ( DrWEB: Trojan.Winlock.1686, BitDefender: Trojan.Generic.4027301, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Krosh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Последствия порнобаннеров
      От kate_zem в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.06.2010, 13:43
    2. Разлочка кэша на Athlon II возможна
      От Kuzz в разделе Новости аппаратного обеспечения
      Ответов: 1
      Последнее сообщение: 01.12.2009, 16:23
    3. Проблемы с учет. записью после AVZ
      От Lily в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.03.2009, 11:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01003 seconds with 17 queries