-
Junior Member
- Вес репутации
- 53
Помогите СМС банер на номер 9800
Приветствую вас !
Помогите пожалуйста.
Выскочил банер с смс на 9800
постоянно выскакивает системная ошибка
ни один из браузеров не запускается,
AVZ и Hijack еле еле работают с ошибкаим.
Получилось сделать только пару логов, их и прикладываю
у меня Мак на котором стоит Винда и сейчас зашел под Мак осью чтобы отправить вам логи
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
извините логи к прошлому посту не прикрепились,
лог hijackthis не прикрепляется
а AVZ лог был слишком большой , высылаю его сжатым
-
Перечитайте правила и предоставьте нужные логи, а не отсебятину
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
нормальные логи не сделать при выполнении скриптов
выдает ошибку инициализации
-
Попробуйте полиморфный AVZ (ссылка в подписи)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
сейчас попробую но после двух последних перезагрузок ни AVZ ни HiJackThis не запустикались постоянная сообщеия о Неверном образе
либо нехватке квот и тд постоянно пытается запустится файл mscqbzqs.exe
Добавлено через 1 минуту
Так же у меня есть возможность залезть в диск С из под Мака,
это может как то помочь???
Последний раз редактировалось johnnygreen; 03.06.2010 в 01:24.
Причина: Добавлено
-
Поищите и переименуйте файл mscqbzqs.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
файл не найти
в полиморфном режиме тоже ошибка RUNSCAN
Добавлено через 1 минуту
прежде я допустил ошибку файл называется mdsqbzcq.exe
Добавлено через 9 минут
попробую сервис разблокировки касперский
Последний раз редактировалось johnnygreen; 03.06.2010 в 01:54.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
Проблему решил таким образом:
1. С помощью системы разблокирования Касперского, убрал баннер
2. При глючной работе скрипта AVZ заметил внизу в строке состояния адрес расположения того самого зловредного файла mdsqbzcq.exe
был он в скрытых файлах
С:\Document and Settings\Admin\Application Data\mdsqbzcq.exe
В виндах его просто было не удалить,
но при входе на диск С из под Мака он легким движением руки отправился в корзину.
Проблема ушла)))))))
Но не могли бы вы на всякий случай проверить логи, есть в них пара подозрительных файлов
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\ctfmon.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\mdsqbzcq.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\kdsibzco.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\KeyAgent.sys','');
TerminateProcessByName('c:\documents and settings\admin\application data\microsoft\services.exe');
QuarantineFile('c:\documents and settings\admin\application data\microsoft\services.exe','');
DeleteFile('c:\documents and settings\admin\application data\microsoft\services.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Updater v2');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Updater v2');
DeleteFile('C:\Documents and Settings\Admin\Application Data\kdsibzco.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PC Health Status');
DeleteFile('C:\Documents and Settings\Admin\Application Data\mdsqbzcq.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PC Health Status');
DeleteFile('C:\Documents and Settings\Admin\ctfmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Посмотрите пожалуйста осталось что ниь в логах???
-
Плохого не видно, что с проблемой?
-
-
Junior Member
- Вес репутации
- 53
проблема которая была в начале поста ушла, пока тестирую
-
С точки зрения безопасности системы обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер, а также Adobe Reader и Java.
-
-
Junior Member
- Вес репутации
- 53
Спасибо обновлю!
Всем огромное спасибо за содействие
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\application data\microsoft\services.exe - Trojan.Win32.Buzus.ebmr ( AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\admin\ctfmon.exe - P2P-Worm.Win32.Palevo.akug ( DrWEB: Win32.HLLW.Lime.18 )
-