Показано с 1 по 11 из 11.

Не удалить вирусы после СМС баннера 3381 (заявка № 81535)

  1. #1
    Junior Member Репутация
    Регистрация
    21.06.2010
    Адрес
    С-Петербург
    Сообщений
    5
    Вес репутации
    28

    Exclamation Не удалить вирусы после СМС баннера 3381

    21.06 Поймал вирус с порно-баннером, требующий СМС 187101840125 на 3381. Сдуру отправили (-500 руб), прислали код - не помогло. Не помогли коды разблокировки с сайта NOD32 и др. Звонил 8-800-100-7337 - мимо.
    Компьютер был полнстью заблокирован. Работал загружаясь с диска- реаниматора, на нем был REGEDITOR.
    Читая сообщения, этого форума исправил в реестре ключ
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр userinit=C:\WINDOWS\system32\userinit.exe,
    (убрал хвост после запятой).
    И баннер убрался. Комп. заработал, хотя и не сразу, пришлось возиться с msconfig.exe.

    Теперь ГЛАВНОЕ - пожалуйста помогите удалить вирусы. Они наверняка остались после баннера. NOD32, DRWEB , AVPTool - ничего не находят.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
    Закройте все программы, выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('E:\MiniNT\system32\rasman.dll','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0014100.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0013572.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0013567.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0013528.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0013515.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0012385.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011250.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011245.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011244.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011227.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011223.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011198.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011187.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010980.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010968.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010965.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010963.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010958.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010928.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010925.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010909.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010904.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010903.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010853.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010884.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010880.exe','');
     QuarantineFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010846.exe','');
    QuarantineFile('C:\Documents and Settings\HP Compaq\Application Data\netprotocol.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\.nvdkit\987239acba334648\d5687f9dd9435984\lib\tclsvc\tclsvc82.dll','');
     QuarantineFile('C:\WINDOWS\TEMP\.nvdkit\987239acba334648\d5687f9dd9435984\lib\sentcl\sentcl82.dll','');
     QuarantineFile('C:\WINDOWS\TEMP\.nvdkit\987239acba334648\d5687f9dd9435984\lib\reg1.0\tclreg82.dll','');
     QuarantineFile('C:\WINDOWS\TEMP\.nvdkit\987239acba334648\d5687f9dd9435984\lib\nvdtcl\nvdtcl82.dll','');
     QuarantineFile('C:\WINDOWS\TEMP\.nvdkit\987239acba334648\d5687f9dd9435984\bin\itcl31.dll','');
     QuarantineFile('C:\WINDOWS\TEMP\.nvdkit\4cbb1f5137265e7d\737d992b6837ba4c\bin\win32\iphelper.dll','');
     QuarantineFile('C:\WINDOWS\SMINST\naspp.dll','');
    DeleteFile('C:\Documents and Settings\HP Compaq\Application Data\netprotocol.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010846.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010853.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010880.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010884.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010903.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010904.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010909.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010925.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010928.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010958.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010963.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010965.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010968.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0010980.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011187.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011198.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011223.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011227.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011244.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011245.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0011250.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0012385.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0013515.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0013528.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0013567.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0013572.exe');
     DeleteFile('C:\System Volume Information\_restore{851AA5A1-1AC4-4400-A4DE-434AC122BE82}\RP65\A0014100.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
    E:\ - это флэшка?

  4. #3
    Junior Member Репутация
    Регистрация
    21.06.2010
    Адрес
    С-Петербург
    Сообщений
    5
    Вес репутации
    28
    E:- это жесткий диск(раздел). На нем система восстановления win. С этой системой комп. покупался. Восстановит систему на момент 2008 г

    Я извиняюсь, что отправляю информ-ю в 2 приема. Сначала у меня загрузился карантин, но при этом форум не дал написать сообщение.
    Пришлось повторить ввод имени - и вот сообщение.

    Если карантин не дошел, то отпралю еще раз.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    E:\autorun.inf - файл знаком?
    В остальном не вижу плохого

  6. #5
    Junior Member Репутация
    Регистрация
    21.06.2010
    Адрес
    С-Петербург
    Сообщений
    5
    Вес репутации
    28
    С системой востановления на E: не очень знакомы, так как не пользовались.
    В принципе ее можно снести

    Но сам порно-баннер должен был остаться на компьютере.
    Но я так понимаю, что он не опасен.
    Вообще компьютер работает хорошо.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Цитата Сообщение от dmchs Посмотреть сообщение
    параметр userinit=C:\WINDOWS\system32\userinit.exe,
    (убрал хвост после запятой).
    Файл от этого хвоста удалили или нет?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    21.06.2010
    Адрес
    С-Петербург
    Сообщений
    5
    Вес репутации
    28
    Не удалил, лопухнулся.
    Потом спохватился, но было поздно.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Цитата Сообщение от dmchs Посмотреть сообщение
    Потом спохватился, но было поздно.
    Поясните?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    21.06.2010
    Адрес
    С-Петербург
    Сообщений
    5
    Вес репутации
    28
    После того, как стер хвост и закрыл regeditor, дошло,что надо было путь и имя файла записать на бумажку. Дело было в 2 часа ночи. Это был 2-й день попыток загасить баннер. Плохо соображал.Хотелось быстрее увидеть, что это окно с порнухой наконец убралось.

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,547
    Вес репутации
    3021
    Поищите скрытый файл bldjad.exe в одной из многочисленных папок Temp
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 36
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) dmchs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирусы после баннера
      От AlexTv в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 09.06.2011, 14:51
    2. Ответов: 3
      Последнее сообщение: 18.06.2010, 14:13
    3. Проблемы после баннера на 3381
      От zabrus2 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.05.2010, 09:20
    4. лечение баннера 3381
      От arbuzavr в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.05.2010, 18:52
    5. чистка порно-баннера с номером 3381
      От zakkman в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.05.2010, 10:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01478 seconds with 16 queries