Показано с 1 по 18 из 18.

очередной порнобаннер (заявка № 79227)

  1. #1
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    19
    Вес репутации
    31

    Thumbs up очередной порнобаннер

    в общем с утра вожусь с очередной заразой.
    avz.exe, avz.com запустить не даёт, при запуске программу сразу сворачивает. totalcmd.exe запустить не даёт, проводник работает, но режим отображения скрытых файлов не включить.
    эта зараза сидела несколькими dll и exe в system32, также сидела процессом systems.exe в documents and settings\all users\. путём подключения винта к другому компу эти файлы поудалял. но работу восстановить не удалось. из логов могу сейчас сделать только hijack, но не знаю насколько он информативен будет.
    dr. web cure it находит трояны, удаляет их, но опять же, это не сильно помогает.

    в баннере написан адрес www_pornhub_com, если это чем-то поможет

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Скачайте LiveCD с возможностью поиска и правки исправления в реестре. Например, ERD Commander

  4. #3
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    19
    Вес репутации
    31
    ок, ERD commander качаю, что делать дальше?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Посмотрите в реестре:
    ветка
    HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    параметр
    AppInit_DLLs

    Содержимое этого параметра в своем сообщении напишите

  6. #5
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    19
    Вес репутации
    31
    ок, спасибо, реестр уже почистил, посмотрев аналогичные темы, баннер пропал

    чуть позже выложу логи AVZ, для того, чтобы посмотреть остался какой-нибудь мусор, или нет

  7. #6
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    19
    Вес репутации
    31
    как уже писал, вчера почистил реестр, переименовал .dll, всё заработало. потом обновил базы avz и запустил скрипты, чтобы сделать логи virusinfo, после этого перезагрузил комп и в итоге снова баннер, диспетчер задач заблокирован.

    реестр с помощью ERD commander посмотрел, в Appint_Dlls пусто.

    в system32 подозрительных dll вроде бы не появилось.

    что делать?

    проверяю винт на другом компе, уже нашёл Trojan.Winlock.1685, удаляем

    в безопасном режиме запустил avz и hijack, сейчас будут логи
    Последний раз редактировалось owsla; 26.05.2010 в 10:51.

  8. #7
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    19
    Вес репутации
    31
    логи во вложении, баннер висит, сеть заблокирована
    Последний раз редактировалось owsla; 26.05.2010 в 11:52.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe','');
     DeleteService('ixwydxwa');
     QuarantineFile('C:\WINDOWS\system32\0121.tmp','');
     DeleteFile('C:\WINDOWS\system32\0121.tmp');
     DeleteFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','shell');
    BC_ImportDeletedList;
    ExecuteRepair(17);
    ExecuteRepair(11);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин по Правилам.
    Сделать заново логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    19
    Вес репутации
    31
    логи avz выложил, hijack запустить не даёт, антивирусные сайты не грузит, баннер пропал, сетка есть
    карантин отправил

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    Восстановление системы: включено
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteService('dybypx');
     QuarantineFile('C:\WINDOWS\system32\0109.tmp','');
     DeleteFile('C:\WINDOWS\system32\0109.tmp');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(20);
     ExecuteRepair(6);
     ExecuteRepair(8);
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  12. #11
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    19
    Вес репутации
    31
    логи во вложении, почему-то проинсталлированный hijack запустить не удаётся, запустил учу без инсталляции
    карантин отправил
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Сделайте лог MBAM

  14. #13
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    19
    Вес репутации
    31
    Цитата Сообщение от polword Посмотреть сообщение
    - Сделайте лог MBAM
    во вложении

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1. удалите в MBAM
    Код:
    C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\3DBFBE1Fd01 (Adware.Seekmo) -> No action taken.
    C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\yWciyDkn.exe.part (Adware.Seekmo) -> No action taken.
    E:\F-DATA\DrWeb Enterprise Suite\Installer\fix\avz4\Infected\2010-05-25\avz00001.dta (Backdoor.Bot) -> No action taken.
    E:\F-DATA\DrWeb Enterprise Suite\Installer\fix\avz4\Infected\2010-05-25\avz00002.dta (Backdoor.Bot) -> No action taken.
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\0109.tmp','');
     QuarantineFile('C:\Program Files\HyperSnap 6\HSTxtCap.dll','');
     DeleteService('dybypx');
     DeleteFile('C:\WINDOWS\system32\0109.tmp');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip;

  16. #15
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    19
    Вес репутации
    31
    лог во вложении, карантин выслал

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    В логе чисто.

    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

  18. #17
    Junior Member Репутация
    Регистрация
    30.11.2009
    Сообщений
    19
    Вес репутации
    31
    спасибо!
    полное обновление ОС уже сделал

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\common files\sysaware soft\svhost.exe - Trojan-Ransom.Win32.PinkBlocker.blb ( DrWEB: Trojan.Winlock.1765 )
      2. c:\program files\drweb enterprise suite\infected.!!!\3proxy-0.6-devel-080513170128.zip - not-a-virus:Server-Proxy.Win32.3proxy.al ( BitDefender: Trojan.Generic.1766947 )


  • Уважаемый(ая) owsla, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. очередной порнобанер
      От евгений_спб в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 07.08.2011, 18:45
    2. Очередной порнобаннер. Хитрый.
      От kokashkoblin в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.11.2010, 16:30
    3. re Очередной порнобаннер. Хитрый.
      От warta в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.11.2010, 14:42
    4. Ответов: 9
      Последнее сообщение: 03.12.2009, 20:32
    5. Порнобаннер, очередной.
      От SmileP в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.12.2009, 17:29

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00832 seconds with 17 queries