3kilos 1 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 Здравствуйте! Вчера столкнулся с этой проблемой. Сначала не пускало на страницу сайта Вконтакте. В файле hosts обнаружил и удалил новый адрес и напротив него адреса на соц. сайты (вконтакте, одноклассники). Также пропали звуки при перемещении по папкам. Сегодня утром включил компьютер, а там банер. Красный фон с двумя картинками, где парочки голых девок. И сообщение следующего характера: "Спасибо за установку нашего информера. Данный программный продукт не является вирусом, не блокирует Диспетчер задач и другое ПО Вашего компьютера. Для того, чтобы закрыть рекламный информер Отправьте SMS с текстом 5213308 на номер 5121 Введите полученный код: удалить банер Правила." При это не запускаются: Диспетчер задач (вместо этого он торчит в трее), Командная строка, браузеры ie и ff. А если начать открывать папку, где хранятся антивирусные программы, то папка тут же закрывается, то же самое при попытке открыть C:\Documents and Settings\Лёха\Local Settings\Application Data\Mozilla\Firefox. IE удалось запустить через Мой компьютер и ввод сайта в адресной строке. Сервисы по получению кода для разблокировки не помогли, на странице доктора Веба еще нет кода для моего сообщения: 5213308, а на странице Касперского ни один код не подошел. Запуск AVZ не удается, окно программы на секунду появляется, потом сворачивается в панель задач и вскоре вообще пропадает. Переименование файл программы не помогло. Удалось запустить HijackThis, привожу лог. Помогите пожалуйста справиться с этой напастью! Заранее спасибо! hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
apq 361 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 3kilos, по правилам раздела должно быть еще два лога Цитата Ссылка на сообщение Поделиться на другие сайты
Misterio 114 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 3kilos, по правилам раздела должно быть еще два логатак пишет ведь, что авз не запускается. Хотя можно попробовать в безопасном режиме запустить. Заодно и Cureit прогнать Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 Попробуйте удалить файл C:\Program Files\Common Files\Agent\agent.exe Пофиксить в HijackThis F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Agent\agent.exe ПК перезагрузите. Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 3kilos, воспользуйте этим сервисом, а потом пробуйте делать логи AVZ. Цитата Ссылка на сообщение Поделиться на другие сайты
-=Kirill Strelets=- 179 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 3kilos, по правилам раздела должно быть еще два лога А если ему это не представляется возможным (заблокирован доступ AVZ вирусом) ? Цитата Ссылка на сообщение Поделиться на другие сайты
apq 361 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 (изменено) так пишет ведь, что авз не запускается. можно попробовать полиморфный AVZ, должен запуститься. взять можно по ссылке в подписи у thyrex Изменено 13 июня, 2010 пользователем apq Цитата Ссылка на сообщение Поделиться на другие сайты
3kilos 1 Опубликовано 13 июня, 2010 Автор Share Опубликовано 13 июня, 2010 (изменено) agent.exe не удаляется. Попробовал все коды на этом сервисе, не помогло. Полиморфный AVZ перед созданием темы качал, не запускатся. Пофиксил F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Agent\agent.exe в HijackThis и перезагрузился. Банер исчез. Спасибо помогло! Все стало запускаться, единственное звук открытия и закрытия папок так и не восстановился. Сейчас сделаю логи AVZ и HijackThis. Удалять файл agent.exe? Там в папке еще два файла: readme и приложение Блокнот с именем 1. Выполнил сканирование AVZ и HijackThis. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 13 июня, 2010 пользователем 3kilos Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('\\?\globalroot\systemroot\system32\NqK9UPX.exe',''); DeleteFile('C:\Program Files\Common Files\Agent\agent.exe'); BC_DeleteSvc('KTalk'); DeleteFile('\\?\globalroot\systemroot\system32\NqK9UPX.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб) Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 Там в папке еще два файла: readme и приложение Блокнот с именем 1Запакуйте и прикрепите их к сообщению Цитата Ссылка на сообщение Поделиться на другие сайты
3kilos 1 Опубликовано 13 июня, 2010 Автор Share Опубликовано 13 июня, 2010 (изменено) Размер карантина 608 байт. Отправлять такой карантин? Два файл из папки Agent. Файл agent.exe был удален при выполнении скрипта. readme я раньше изменял, там было число и каждый раз оно изменялось, но это было еще при банере, также пробовал это число вводить в качестве кода, не помогло. Отправил тот архив 608 байт. Сделал новые логи. Agent.rar virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 13 июня, 2010 пользователем 3kilos Цитата Ссылка на сообщение Поделиться на другие сайты
Lida 0 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 Точна такая же проблема как и в первом посте... спачала не пускал в контакт. терепь баннер на рабочем столе( помогите пжл от него избавиться...скачала хайджек и просканила подскажите пжл что теперь? вот что получила! hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 (изменено) 3kilos В AVZ выполните скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\\?\globalroot\systemroot\system32\NqK9UPX.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\NqK9UPX.exe'); DeleteFile('C:\WINDOWS\system32\NqK9UPX.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); SetAVZPMStatus(True); RebootWindows(true); end. После перезагрузки повторите логи (желательно сделать их обычной версией avz). Lida, оформите запрос в отдельную тему. по правилам 3 лога должно быть. Изменено 13 июня, 2010 пользователем миднайт Цитата Ссылка на сообщение Поделиться на другие сайты
3kilos 1 Опубликовано 13 июня, 2010 Автор Share Опубликовано 13 июня, 2010 Сделал логи обычной версией AVZ. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 13 июня, 2010 Share Опубликовано 13 июня, 2010 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.