Блокировка сети баннер

[finchez]

На рабочем столе баннер с просьбой отправит смс 130111899 на номер 9691. Все это сопровождается тормозами, вход в сеть не доступен, интернет соответственно не робит. Надеюсь на помощь, заранее благодарю.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 28 февраля, 2010 пользователем finchez

[apq]

finchez, чтоб разблокировать инет воспользуйтесь сервисом разблокировки

[izstas]

finchez

Пока ждете Helper'ов, попробуйте код 476797587. Только, даже если поможет, не уходите из темы.

[finchez]

Баннера пропал с рабочего стола, но доступ в интернет так и не появился. При перезагрузке находится новое оборудование Enternet-controler, а в удалении програм повисла нечто MSXML 6.0 Parser (KB925673), удалить не получается...

[akoK]

Обновите базы AVZ иначе эффекта не будет

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\tqgrmroy.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\srispopx.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\rpmokjnw.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\rmermpkw.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\rgkipnew.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\nkkroois.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\miellxgr.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\ihfhlyfn.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\gtemklrl.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\gsnqmoql.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\gftkcydl.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\fpglljnk.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\fksmltik.exe','');
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\ejpgqqhj.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\l151x86.sys','');
QuarantineFile('c:\documents and settings\Брикин Артем\application data\fpglljnk.exe','');
DeleteFile('c:\documents and settings\Брикин Артем\application data\fpglljnk.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\ejpgqqhj.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\fksmltik.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\fpglljnk.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\gftkcydl.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\gsnqmoql.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\gtemklrl.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\ihfhlyfn.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\miellxgr.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\nkkroois.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\ogqtnoet.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\rgkipnew.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\rmermpkw.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\rpmokjnw.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\srispopx.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\tqgrmroy.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив необходимо загрузить при помощи этой формы:

1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина и нажмите "Далее".

4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу newvirus@kaspersky.com

 

 

Повторите логи.

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[snifer67]

+ к akoK

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Брикин Артем\Application Data\ojjqryht.exe','');
DeleteFile('c:\documents and settings\Брикин Артем\application data\ojjqryht.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- ПК перезагрузится.

Изменено 28 февраля, 2010 пользователем snifer67

[finchez]

Сделал все вышеописанное. Эффекта нет. Баннер продолжает появляться через некоторое время и доступа в интернет по прежнему нет. Вот логи после всех манипуляций

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 28 февраля, 2010 пользователем finchez

[akoK]

Почему не обновили базы AVZ?

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

 

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните лог.

[fattahoff]

я удалил такое чудо через безопасный режим !и вроде все норм работает!

[Dagost]

Вроде как такую проблему здесь уже обсуждали : http://forum.kasperskyclub.ru/index.php?showtopic=15963

[akoK]

Строгое предупреждение от модератора akoK

fattahoff,Dagost: устное предупреждение за флуд.

 

Сообщение от модератора akoK

оlег, ваш пост удален.

 

Ждем логи.

[finchez]

Все равно при запуске системы находится и устанавливается новое оборудование, потом просят перезапустить браузер, хотя ничего еще не запускал. Обновил avz (логи прилагаются) При запуске combofix появляется data error.

gmer.log

hijackthis.log

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 28 февраля, 2010 пользователем finchez

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\gjfirkhl.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\imhfppkn.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\npmjllns.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\rsifkyqw.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\tejrltcy.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\ttiopory.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\hlojkxjm.exe');
DeleteFile('C:\Documents and Settings\Брикин Артем\Application Data\emlmnxkj.exe');
DeleteFile(C:\Documents and Settings\Брикин Артем\Главное меню\Программы\Автозагрузка\healm_jlik.lnk');
DeleteFile('C:\Documents and Settings\Брикин Артем\Главное меню\Программы\Автозагрузка\healm_lokh.lnk');
DeleteFile('C:\Documents and Settings\Брикин Артем\Главное меню\Программы\Автозагрузка\healm_qrpl.lnk');
DeleteFile('C:\Documents and Settings\Брикин Артем\Главное меню\Программы\Автозагрузка\healm_uulh.lnk ');
DeleteFile('C:\Documents and Settings\Брикин Артем\Главное меню\Программы\Автозагрузка\healm_wgmt.lnk');
DeleteFile('C:\Documents and Settings\Брикин Артем\Главное меню\Программы\Автозагрузка\healm_wvlq.lnk ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Изменено 28 февраля, 2010 пользователем akoK

[finchez]

Произвел проверку с помощью MBAM было обнаружено еще 5 вредоносных ПО. Произвел перезагрузку, но все равно всплыло сообщение, что найдено новое оборудование PCI divase

mbam_log.txt

Изменено 28 февраля, 2010 пользователем finchez

[snifer67]

В логе пдозрительного нету.Сделайте логи avz.