Показано с 1 по 9 из 9.

Баннер 3381 (заявка № 78955)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    29

    Thumbs up Баннер 3381

    Добрый вечер!
    Подцепил сабж. При попытке запуска AVZ комп выключается.
    Удалил кучу файлов с рандомными именами без иконок из system32 и файл system.exe из all users. Также пофиксил жуткий параметр, начинавшийся с R3. Все эти действия практически ничего не изменили. Осталось ещё много подозрительных с О4, прошу посмотреть.
    Точное содержимое параметра Applnt_DLLs:
    C:\WINDOWS\system32\npdx.dll
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    Из-под LiveCD:
    1. Переименуйте C:\WINDOWS\system32\npdx.dll
    2. Очистите значение параметра Applnt_DLLs
    3. Перезагрузитесь и пробуйте загрузиться в обычном режиме.

    Если баннер пропал, делайте логи в полном объеме + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    29
    Сделано!
    Вложения Вложения

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    c:\windows\system32\msgsvc.dll проверьте на virustotal
    Ссылку на результат проверки сообщите

    Файл, который переименовывали, запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\he.dll
    c:\windows\system32\pazw.dll
    c:\windows\system32\qziiff.dll
    c:\windows\system32\reqyaa.dll
    c:\windows\system32\fjtl.dll
    c:\windows\system32\gy.dll
    c:\windows\system32\cqpcjwjn.dll
    c:\windows\system32\yddy.dll
    c:\windows\system32\qwe.dll
    c:\windows\system32\eij.dll
    c:\windows\system32\otkgm.dll
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\inf\scsi.inf:q8c0R4ShLXO6mB:$DATA','');
     DeleteFile('C:\WINDOWS\inf\scsi.inf:q8c0R4ShLXO6mB:$DATA');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(11);
    ExecuteRepair(17);
    ExecuteRepair(20);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Обновите базы AVZ
    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    29
    К сожалению, проверить файл не получилось, и он уже исправлен combofix. Карантины выслал. После перезагрузки включился Symantec и поместил в карантин файл vdqwodiy.sys из папки drivers. Собственно, компьютер, похоже, полностью восстановил работоспособность.
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

    Удалите ComboFix

    Выполните скрипт в AVZ
    Код:
    begin
    DeleteFile('C:\System Volume Information\_restore{B21C9EBA-BFBC-4546-B3F5-7C60D141E169}\RP1\A0000249.inf:q8c0R4ShLXO6mB:$DATA');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    13
    Вес репутации
    29
    Может, лучше всё-таки отправить карантин по форме форума? У меня ящики на mail.ru и на nextmail.ru, на оба письмо возвращается, так как во вложении содержатся вирусы.
    Вложения Вложения

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,231
    Вес репутации
    3015
    Цитата Сообщение от dcvf Посмотреть сообщение
    Может, лучше всё-таки отправить карантин по форме форума?
    Выложите на файлообменник, а ссылку пришлите мне на e-mail

    Чисто

    Установите SP3 (может потребоваться активация) + все новые патчи
    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Установите Adobe Acrobat 9.3 или удалите старый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\inf\scsi.inf:q8c0r4shlxo6mb:$data - Trojan-Ransom.Win32.XBlocker.acx ( DrWEB: Trojan.AdultBan.25, AVAST4: Win32:Rootkit-gen [Rtk] )
      2. \qwe.dll - Trojan-Ransom.Win32.XBlocker.acx ( DrWEB: Trojan.AdultBan.25, AVAST4: Win32:Rootkit-gen [Rtk] )


  • Уважаемый(ая) dcvf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. баннер 3381
      От Alexander044 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 19.06.2010, 20:05
    2. SMS-баннер на 3381
      От clim в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 30.05.2010, 21:19
    3. баннер 3381
      От Skaarj в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.05.2010, 11:48
    4. Баннер 3381
      От ra4udc в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.05.2010, 18:38
    5. баннер 3381
      От BABAX в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 21.05.2010, 22:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00363 seconds with 17 queries