Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

SANTAMARIA

Баннер

Рекомендованные сообщения

Утром включил компьютер - на полэкрана баннер со шлюхами и требование послать смс.

Интернет могу включить, но за баннером ничего не видно. В безопасном режиме нету интернета. Проверил Eset Nod 32 все диски, нашел какой то toolbar.exe в скрытой папке temp на диске С, но не помогло. AVZ (в безопасном режиме) тоже что то нашел - удалил, но тоже не помогло. КК ничего не нашел. (все программы с форума поэтому не обновленные)

лог хайджек hijackthis.rar

лог гетсистеминфо GetSystemInfo_MICROSOF_A567F2_Admin_2010_02_28_15_47_48.zip

Заранее благодарен. Помощь актуальна до 18:00 28 февраля 2010.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лог AVZ нужен.

 

В Безопасном режиме пофиксить с помощью HijackThis:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O23 - Service: Mrodasdg - Корпорация Майкрософт - (no file)

 

Файл C:\Program Files\plugin.exe в ахив под пароль и выслать на почтовый ящик, как указано в Инструкции. Я более чем уверен, что это вирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

plugin.exe отправил вроде на мыло спец.ящик (запароленный архив)

log AVZ virusinfo_syscheck.zip

а вот с хайджеком не соображу как пофиксить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Файл C:\Program Files\plugin.exe удалить в безопасном режиме вручную.

Файл plugin.exe получен 2010.02.28 14:11:17 (UTC)

Текущий статус: закончено

Результат: 15/42 (35.72%)

Антивирус Версия Обновление Результат

a-squared 4.5.0.50 2010.02.28 Virus.Win32.Induc!IK

AhnLab-V3 5.0.0.2 2010.02.28 -

AntiVir 8.2.1.176 2010.02.26 -

Antiy-AVL 2.0.3.7 2010.02.26 -

Authentium 5.2.0.5 2010.02.27 -

Avast 4.8.1351.0 2010.02.28 Win32:Rootkit-gen

Avast5 5.0.332.0 2010.02.28 Win32:Rootkit-gen

AVG 9.0.0.730 2010.02.28 -

BitDefender 7.2 2010.02.28 -

CAT-QuickHeal 10.00 2010.02.27 -

ClamAV 0.96.0.0-git 2010.02.28 -

Comodo 4091 2010.02.28 -

DrWeb 5.0.1.12222 2010.02.28 Trojan.Winlock.1109

eSafe 7.0.17.0 2010.02.28 Win32.VirusInduc.A

eTrust-Vet 35.2.7331 2010.02.26 -

F-Prot 4.5.1.85 2010.02.27 -

F-Secure 9.0.15370.0 2010.02.27 -

Fortinet 4.0.14.0 2010.02.28 -

GData 19 2010.02.28 Win32:Rootkit-gen

Ikarus T3.1.1.80.0 2010.02.28 Virus.Win32.Induc

Jiangmin 13.0.900 2010.02.28 -

K7AntiVirus 7.10.984 2010.02.26 -

Kaspersky 7.0.0.125 2010.02.28 -

McAfee 5905 2010.02.27 -

McAfee+Artemis 5905 2010.02.27 Artemis!4D522E7D5BBE

McAfee-GW-Edition 6.8.5 2010.02.28 -

Microsoft 1.5502 2010.02.28 Virus:Win32/Induc.A

NOD32 4902 2010.02.28 -

Panda 10.0.2.2 2010.02.27 Trj/CI.A

PCTools 7.0.3.5 2010.02.28 HeurEngine.MaliciousPacker

Prevx 3.0 2010.02.28 Medium Risk Malware

Rising 22.36.06.04 2010.02.28 Trojan.Win32.Generic.51FA2EED

Sophos 4.50.0 2010.02.28 Mal/Generic-A

Symantec 20091.2.0.41 2010.02.28 Packed.Generic.276

Пофиксить в HijackThis:

O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"

- отметить соответствующие строки в HijackThis после сканирования и нажать кнопку Fix внизу.

После этого сделать новый лог HijackThis и AVZ!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выполнить скрипт в AVZ (в меню Файл - Выполнить скрипт):

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\kgecqkog.sys','');
end.

Папку Quarantine прислать на тот-же ящик.

Пофиксить в хайджеке:

	O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'NETWORK SERVICE')

Загрузиться в обычном режиме и посмотреть результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас пишу уже из обычного режима вроде ничего. Выполнять ваши предыдущие инструкции?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да.

А так-же: в AVZ выбрать Файл - Мастер поиска и устранения проблем. Там выбрать:

Категория проблемы - Системные проблемы

Степень опасности - все проблемы.

Пуск. Всё, что будет найдено - исправить.

Потом, там-же:

Категория проблемы - Чистка системы

Степень опасности - все проблемы.

Пуск. Отметить всё галочками и нажать Исправить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Система со вторым сервис паком (сборка?) - обновления запрещены, Nod32 - крякнутый. ;)

Пока всё нормально, но из-за этого в будущем опять возможны проблемы в плане безопасности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за помощь!

Сборка ZverCD какая то), иногда появляется что то типо такого же, но там весь экран черный и написано онлайн антивирус шлите смс и все будет вылечено. Если такую я хватаю то она даже в безопасном режиме не исчезает и не знаю как лечить приходилось пару раз винду переустанавливать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, не скучно. ;) Сколько раз уже говорилось - не нужно использовать всякие говносборки, хз чего там в них уже наворочено и покурочено. Ставить нужно только оригинальную систему. Но это уже совсем другая тема.

Удачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.