-
Junior Member
- Вес репутации
- 51
не могу отключить баннер
нигде не могу найти код для отключения баннера: 1860151188577 на номер 3381 (просит 2 смс). Индивидуальный код найден не был. Проверьте указанные ниже коды
перепробовал все предложенные коды с ресурсов касперского и dr web - не помогло. как быть?
Добавлено через 23 минуты
сделать логи нет возможности: в безопасном режиме всё тот же баннер на весь эран
Последний раз редактировалось gurucan; 03.06.2010 в 14:25.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этого параметра напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое:
ⓠ',C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\kloehk.dll
Последний раз редактировалось gurucan; 03.06.2010 в 19:13.
-
сделайте с Live CD
- оставте только C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\kloehk.dll
- Пробуйте загрузиться в обычном режиме, если получиться - сделайте комплект логов по правилам
-
-
Junior Member
- Вес репутации
- 51
сколько по времени грузится live CD? похоже у меня не получается: на этапе заставки "Preparing the LiveCD environment" в default mode комп виснет (при этом мигает индикатор caps lock). В safe mode то же самое: виснет на строке load modul: pata_radisys с миганием того же индикатора.
что дальше?
-
С какого LiveCD смотрели содержимое параметра?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
с ERD Commander... а сейчас пробовал запустить LiveCD от Dr Web..
в реестре значение поменял, в обычном режиме загрузки всё без изменений: баннер висит
Последний раз редактировалось gurucan; 03.06.2010 в 21:16.
-
Как мне кажется, Вы что-то делаете не так и не увидели верного значения AppInit_DLLs
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
thyrex
Как мне кажется, Вы что-то делаете не так и не увидели верного значения AppInit_DLLs
Объясните, пожалуйста, как увидеть верное значение AppInit_DLLs.
Я присылаю то, что вижу по указанному пути в реестре в колонке "DATA" напротив AppInit_DLLs .
Там сейчас - C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\kloehk.dll
Попытка через правую кнопку мыши -> modify стереть всю запись ничего не изменила: загрузка в обычном режиме даёт баннер, а при повторном входе в реестр (через ERD Commander) обнаруживаю всё то же значение для AppInit_DLLs (C:\PROGRA~1\Kaspersky Lab\Kaspersky Internet Security 2010\kloehk.dll)
что делать?
Добавлено через 59 минут
смог убрать баннер при обычной загрузке отредактировав параметр:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
userinit = C:\WINDOWS\system32\userinit.exe
Было так: userinit = C:\WINDOWS\system32\,C:\WINDOWS\system32\userinit. exe
Последний раз редактировалось gurucan; 04.06.2010 в 01:37.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
1. сделана полная проверка KIS
2. cureit в безопасном режиме запустить не удалось, хотя он успел сообщить что вирусы есть (RC=3221225477)
3. логи avz и hijackthis прилагаю
-
Сообщение от
gurucan
3. логи avz и hijackthis прилагаю
Куда приложили?
-
-
Junior Member
- Вес репутации
- 51
извиняюсь за задержку.. опера загрузить файлы не смогла, пришлось через Internet Explorer заливать
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lnksMRT.dll','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('c:\temp\c.exe','');
QuarantineFile('c:\temp\e.exe','');
QuarantineFile('c:\temp\dxutv.dat 0yAAAAAAAA','');
QuarantineFile('PsaSrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\qcndisif.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ad9f15jz.SYS','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
DeleteFile('c:\temp\dxutv.dat 0yAAAAAAAA');
DeleteFile('c:\temp\e.exe');
DeleteFile('c:\temp\c.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
DeleteFile('C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: TBSB00196 - {1236D836-E9BA-4175-894F-2072A14D5A26} - (no file)
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
-
Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sshnas.dll','');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\lnksMRT.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
не могу загрузить карантин.. пишет :
Ошибка загрузки. Данный файл уже был загружен
новые логи прилагаю..
-
C:\WINDOWS\system32\sshnas.dll запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
по указанному пути такого файла нет
Добавлено через 35 минут
переархивировал карантин и смог отправить под именем virus
Последний раз редактировалось gurucan; 04.06.2010 в 17:58.
Причина: Добавлено
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sshnas.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Последний раз редактировалось thyrex; 04.06.2010 в 21:48.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-