sandkey Опубликовано 2 января, 2010 Share Опубликовано 2 января, 2010 ага флуд сейчас опять начнется. По поводу сервиса деактивации вымогателей-блокеров,,, пишет незнаю, кстати с оперы-мини реально зайти туда. Порно-банер с смс на номер 9800 и с текстом 7331692+13+1. В инфицированную систему пытались поставить КАВ(там еще куча вирей). Прибил как обычно, с помощью anvirrus обеспечил доступ к окнам ну а дальше дело техники. Все таки стоит добавить в шапку хоть какие то рекомендации по уничтожению сей гадости!. На этом дело не закончилось. Сейчас клиент отзвонился (у него после сноса этого банера установлен КАВ(который они пытались поставить) полная лицензия полностью обновлен(736) котрый прошерстил все нашел еще кучу вирей, выбил все и ,,,,, при открытии оперы в ее окне висит порно-банер правда как он говорит другой синий .. Завтра гляну что это Файл ijniogp.dll получен 2010.01.02 12:21:44 (UTC) Trojan-Ransom.Win32.PinkBlocker.bb по касперу Результат: 3/40 (7.50%) файлы делал для себя Скриншот не редактировал 5 метров весит + не для девушек hijackthis.log virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
akoK Опубликовано 2 января, 2010 Share Опубликовано 2 января, 2010 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\Temp\fnij.exe',''); QuarantineFile('C:\SysFiles\aRtt5j_18_TH381TF.dll',''); QuarantineFile('c:\Temp\ijniogp.dll',''); DeleteFile('c:\Temp\ijniogp.dll'); DeleteFile('C:\SysFiles\aRtt5j_18_TH381TF.dll'); DeleteFile('c:\Temp\fnij.exe'); DelBHO('{0FE8F188-6CC9-55E8-B26C-6C3E65D114E6}'); DeleteFile('C:\WINDOWS\system32\pygcbx.dll'); BC_Activate; BC_ImportALL; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Пофиксить в HijackThis следующие строчки O2 - BHO: MS Media Module - {0FE8F188-6CC9-55E8-B26C-6C3E65D114E6} - %SYSTEMDRIVE%\SysFiles\aRtt5j_18_TH381TF.dll (file missing) Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог. Ссылка на комментарий Поделиться на другие сайты More sharing options...
sandkey Опубликовано 2 января, 2010 Share Опубликовано 2 января, 2010 Уважаемый akoK. Огромное! спасибо за помощь. Судя по скриптам я кое что пропустил.Там система на первый взгляд вроде работает. Вирус этот каспером детектирован, вызывает удивление что сервис разблока не сработал, кстати на др.вебе тоже молчит что вызывает кучу вопросов, ну да ладно Спасибо огромное трудягам которые подсказывают решения. Завтра залезу остальное гляну аж интересно что там в опере висит Ссылка на комментарий Поделиться на другие сайты More sharing options...
akoK Опубликовано 2 января, 2010 Share Опубликовано 2 января, 2010 Не спешите радоваться. Судя по признакам у вас еще Kido активен в системе. Ссылка на комментарий Поделиться на другие сайты More sharing options...
sandkey Опубликовано 2 января, 2010 Share Опубликовано 2 января, 2010 Не спешите радоваться. Судя по признакам у вас еще Kido активен в системе. Да нет там его!. Лог снят до активации каспера Да нет там его!. Лог снят до активации каспера При лечении используются все средства начиная с загрузочного диска кав. Сегодня я его не использовал потому что такой банер увидел в первый раз и этот банер даже не блокировал диспетчер задач. С ним в принципе проблем то и не было было интересно посмотреть что он делает и как его достать. Ссылка на комментарий Поделиться на другие сайты More sharing options...
akoK Опубликовано 2 января, 2010 Share Опубликовано 2 января, 2010 Нет так нет. Чистого интернета! Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitriy80 Опубликовано 3 января, 2010 Автор Share Опубликовано 3 января, 2010 Итак, мои танцы с бубнами после НГ: 1) подсоеденил зараженный винт к нормальному (?) ноуту 2) проверил Iolo систем шилд - зараженных объектов не обнаружено 3) проверил cureit: найдено несколько видов 2 вида троянов и пара объектов под подозоением, один из них svhost проверил on-line - якобы чист (но я все равно прикреплю архив с ним сюда, на всякий случай) по поводу троянов: их нашлось два вида: 1ый - заражен 1 фаил (удален), второй вид Trojan.Winlock.649 - зараженных файлов (библиотек в интимных местах винды) - около 15000 файлов всё это было удалено и винт был вставлен в ноут. Далее было следующее: После загрузки винды (XP SP3): 1) выскочило окошко необнаружения какого-то файла. 2) окно банера НЕ появилось 3) не работает классически: AVP, regedit , cntrl+alt+del - ну это только что я нашел... (инет кст тоже не работает) и в папке Систем волюм инф - два куцых файла, хотя отключение сохранения системы я не проводил. Далее делаю следующее: 1) делаю быструю проверку cureit - ничего 2) скачиваю Kaspersky Virus Removal TOOL 3) делаю проверку в "стандартном" (не глубокий эврестический анализ и так далее, как предлагается в стоке) режиме - всё чисто 4) делаю ручное лечение , собираю данные о системе - выкладываю вам сюда 5) делаю ещё одну проверку Kaspersky Virus Removal TOOL, только с "макс натсройками)... /в процессе/ Строгое предупреждение от модератора Jen94 Выкладывать вирусы здесь запрещено, а подозрительные объекты следует отправлять на newvirus@kaspersky.comУдалено. avptool_sysinfo.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
apq Опубликовано 3 января, 2010 Share Опубликовано 3 января, 2010 подозрительные объекты и вирусы размещать запрещено, удалите! Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 3 января, 2010 Share Опубликовано 3 января, 2010 Сообщение от модератора thyrex Добавил 16-е восстановление Восстановление системы отключить. Выполните скрипт в avp tool begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile(C:\WINDOWS\system32\'bfwl.pgo'); DeleteFile('C:\WINDOWS\system32\ioloar.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(16); ExecuteRepair(17); RebootWindows(true); end. ПК перезагрузится. Пуск - Выполнить - regedit Щелкая по плюсикам, доберитесь в ветку HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Найдите в правой части параметр AppInit_DLLs и удалите в нем упоминания о C:\WINDOWS\system32\ioloar.dll Сделаете логи avz. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitriy80 Опубликовано 3 января, 2010 Автор Share Опубликовано 3 января, 2010 Сообщение от модератора thyrex Не используйте полное цитирование извините, это мне ? и ещё вопрос, как отключить опцию восстановления системы в XP SP3, я или жестко туплю или у меня этой опции не предусмотрено (см две картинки) Сообщение от модератора thyrex Скрипт был для ВасПрактически такие же рекомендации от меня на оффоруме Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 3 января, 2010 Share Опубликовано 3 января, 2010 (изменено) и ещё вопрос, как отключить опцию восстановления системы в XP SP3, я или жестко туплю или у меня этой опции не предусмотрено (см две картинки) Правой кнопкой по Мой компьютер > Свойства > Вкладка Восстановление системы > Поставить галку на Отключить восстановление системы на всех дисках > ОК Изменено 3 января, 2010 пользователем Mark D. Pearlstone Ссылка на комментарий Поделиться на другие сайты More sharing options...
Suren Опубликовано 3 января, 2010 Share Опубликовано 3 января, 2010 Mark D. Pearlstone нет вкладки такой. Винда скорее всего - сборка... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 3 января, 2010 Share Опубликовано 3 января, 2010 Mark D. Pearlstone нет вкладки такой. Винда скорее всего - сборка... Значит восстановление системы отключено скорее всего. Dmitriy80, Пуск > Справка и поддержка > Отмена изменений с помощью Восстановления системы. Работает ли? Ссылка на комментарий Поделиться на другие сайты More sharing options...
sandkey Опубликовано 3 января, 2010 Share Опубликовано 3 января, 2010 (изменено) Мда я думал умну проблемы. C:\SysFiles\aRtt5j_18_TH381TF.dll. а в этой папке лежит папка опера в которой есть файл opera.js + этот файл и энто все делало порно банер в опере. на иеэксполорере все нормально. Разблокировка банеров очередной раз не сработала (интересно а она вообще работает?) поэтому пришлось прибить напрямую. Mark D. Pearlstone нет вкладки такой. Винда скорее всего - сборка... а regedit запускается? Изменено 3 января, 2010 пользователем sandkey Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitriy80 Опубликовано 3 января, 2010 Автор Share Опубликовано 3 января, 2010 (изменено) Dmitriy80, Пуск > Справка и поддержка > Отмена изменений с помощью Восстановления системы. Работает ли? "Восстановление системы отключено групповой политикой. Для включения системы свяжитесь с администратором домена" ОК Mark D. Pearlstone нет вкладки такой. Винда скорее всего - сборка... винда лицензионная с буком идёт ) snifer67 эх, к сож, засада какая-то(( "Ручное лечение: Невозможно запустить задачи. Код ошибки: 99С63001" avptool_sysinfo.zip Изменено 3 января, 2010 пользователем Dmitriy80 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти