-
Junior Member
- Вес репутации
- 51
Баннер "отправьте смс на номер 3381"
Поймал блокер пару дней назад,спросил у провайдера код,ввел,убрал этот баннер "3381",но вирус то не обезврежен...
Создает файлы-копии,а оригиналы делает скрытыми.Вот решил обратиться к вам за помощью.
Скрипты сделаны по описанию на вашем сайте,прошу помочь.
Последний раз редактировалось Ахиллес; 11.06.2010 в 12:39.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
# Пофиксите в Hijackthis:
Код:
O20 - Winlogon Notify: cbssreg - D:\Documents and Settings\All Users\Документы\Settings\cbss.dll
# Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\documents and settings\Ахиллес\application data\microsoft\zewepa.exe');
TerminateProcessByName('d:\documents and settings\Ахиллес\application data\microsoft\kigym.exe');
QuarantineFile('D:\Documents and Settings\Ахиллес\Application Data\cift.exe','');
QuarantineFile('D:\Documents and Settings\Ахиллес\Application Data\lwtwfl.exe','');
QuarantineFile('D:\Documents and Settings\Ахиллес\ctfmon.exe','');
QuarantineFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\zewepa.exe','');
QuarantineFile('D:\Documents and Settings\All Users\Документы\Settings\cbss.dll','');
QuarantineFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\sihebynu.exe','');
QuarantineFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\kigym.exe','');
QuarantineFile('D:\WINDOWS\Temp\cagbxkjk.sys','');
DeleteService('skfvpvtqkj');
DeleteService('w2ean5iue3yihqgb');
DeleteService('iu8duoau5woat');
DeleteService('iaioo9oayoo9cu');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\cift.exe');
DeleteFile('d:\documents and settings\Ахиллес\application data\microsoft\kigym.exe');
DeleteFile('d:\documents and settings\Ахиллес\application data\microsoft\zewepa.exe');
DeleteFile('D:\Documents and Settings\All Users\Документы\Settings\cbss.dll');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\gouhoc.exe');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\doujihozo.exe');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\moummypo.exe');
DeleteFile('D:\WINDOWS\Temp\cagbxkjk.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg','DLLName');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\kigym.exe');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\sihebynu.exe');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\zewepa.exe');
DeleteFile('D:\Documents and Settings\Ахиллес\ctfmon.exe');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\lwtwfl.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','levupy');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','desoosoo');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vevi');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Проверьте системную дату. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 51
Пофиксить не могу, нельзя изменить реестр,пишет заблокирован администратором и диспетчер задач аналогично,хотя пользователь только 1 и с правами админа.Что сделать?
-
-
-
Junior Member
- Вес репутации
- 51
Выполнил,но логи вам отправить не могу,пишет,что они уже загружены.
А системная дата давно уже сбита,до вируса,после того как винчестер вытаскивал и обратно подключал,не знаю как ее настроить,чтобы не сбивалась.
-
попробуйте очистить - мой кабинет - вложения. И прикрепите логи
-
-
Junior Member
- Вес репутации
- 51
Ошибка загрузки,данный файл уже был загружен...
-
Подробнее, пожалуйста - что и куда вы загружаете?
-
-
Junior Member
- Вес репутации
- 51
Пробовал загрузить карантин по ссылке изложенной выше(прислать запрошенный карантин) ,вот мне эту ошибку и выдает.
-
Карантин от Вас уже получен, а вот логов так и нет. Вы можете их загрузить, точно также, как делали это в первом сообщении?
-
-
Junior Member
- Вес репутации
- 51
Вот логи,если я правильно понял,что нужно прислать
Последний раз редактировалось Ахиллес; 15.06.2010 в 13:17.
-
Установите надежные пароли на учетные записи пользователей с правами администратора.
Установите правильную дату.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('D:\Documents and Settings\Ахиллес\Application Data\cift.exe','');
QuarantineFile('D:\Documents and Settings\Ахиллес\ctfmon.exe','');
QuarantineFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\zewepa.exe','');
QuarantineFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\sihebynu.exe','');
QuarantineFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\kigym.exe','');
DeleteService('skfvpvtqkj');
QuarantineFile('D:\WINDOWS\Temp\cagbxkjk.sys','');
QuarantineFile('D:\Documents and Settings\All Users\Документы\Settings\cbss.dll','');
QuarantineFile('d:\documents and settings\Ахиллес\application data\microsoft\zewepa.exe','');
QuarantineFile('d:\documents and settings\Ахиллес\application data\microsoft\kigym.exe','');
BC_DeleteSvc('iaioo9oayoo9cu');
BC_DeleteSvc('iu8duoau5woat');
BC_DeleteSvc('npggsvc');
BC_DeleteSvc('w2ean5iue3yihqgb');
QuarantineFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\moummypo.exe','');
QuarantineFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\gouhoc.exe','');
QuarantineFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\doujihozo.exe','');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\doujihozo.exe');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\gouhoc.exe');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\moummypo.exe');
DeleteFile('d:\documents and settings\Ахиллес\application data\microsoft\kigym.exe');
DeleteFile('d:\documents and settings\Ахиллес\application data\microsoft\zewepa.exe');
DeleteFile('D:\Documents and Settings\All Users\Документы\Settings\cbss.dll');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\kigym.exe');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\sihebynu.exe');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\Microsoft\zewepa.exe');
DeleteFile('D:\Documents and Settings\Ахиллес\ctfmon.exe');
DeleteFile('D:\Documents and Settings\Ахиллес\Application Data\cift.exe'); BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 51
Хм,я вроде как администратор,1 пользователь,все приложения устанавливаются и запускаются нормально без запросов на права администратора.
Еще раз объясню,дата сбилась после того,как вытаскивал винчестер,как ни настраивай,все равно сбивается.
-
Junior Member
- Вес репутации
- 51
-
В логе нет ничего подозрительного.
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 51
-
Junior Member
- Вес репутации
- 51
-
-
-
Junior Member
- Вес репутации
- 51
вроде да.Есть вопросик,компьютер долго открывает иногда папки и окна такие, как "Мой Компьютер", Локальные диски.
Как можно устранить эту проблемку?
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 24
- В ходе лечения обнаружены вредоносные программы:
- d:\documents and settings\ахиллес\application data\microsoft\kigym.exe - Trojan-Dropper.Win32.Vidro.bjq ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- d:\documents and settings\ахиллес\application data\microsoft\sihebynu.exe - Trojan-Dropper.Win32.Vidro.bjp ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
- d:\documents and settings\ахиллес\application data\microsoft\zewepa.exe - Trojan-Dropper.Win32.Vidro.bjp ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
-