Bob Rowsky Опубликовано 30 мая, 2010 Поделиться Опубликовано 30 мая, 2010 (изменено) В ОС Windows проник блокирующий вирус. Заблокированы диспетчер задач, редактор реестра. Пропала вкладка восстановление системы. Компьютер стал тугодумом. Визуально - на рабочем столе белый баннер, две одинаковых топлесс-тетки по бокам, просьба отправить смс с определенным текстом на номер 3381. Поработал ERD Commander-ом. В ветке HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows содержание параметра AppInit_DLLs - С:\W\S32\Dllcache\c_708.nls. Содержание параметра убрано. Сам параметр AppInit_DLLs оставлен пустым. Файл c_708.nls "зафоршмачен". После чего удалось выполнить логи avz и hijackthis, которые прилагаю. Прошу дальнейшей помощи. Файл c_708.nls удалять окончательно? virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 30 мая, 2010 пользователем Bob Rowsky Ссылка на комментарий Поделиться на другие сайты Поделиться
klon21 Опубликовано 30 мая, 2010 Поделиться Опубликовано 30 мая, 2010 Попробуй вот здесь http://support.kaspersky.ru/viruses/deblocker или напиши текст который нужно оправить на 3381 Ссылка на комментарий Поделиться на другие сайты Поделиться
Bob Rowsky Опубликовано 30 мая, 2010 Автор Поделиться Опубликовано 30 мая, 2010 (изменено) Попробуй вот здесь http://support.kaspersky.ru/viruses/deblocker или напиши текст который нужно оправить на 3381 Спасибо. Но извини, ты не понял. Блокировки уже нет. Сейчас этап зачистки. Изменено 30 мая, 2010 пользователем Bob Rowsky Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 30 мая, 2010 Поделиться Опубликовано 30 мая, 2010 AVZ добил других прихвостней вируса Выполните скрипт в AVZ begin ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(17); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end. Компьютер перезагрузится. Сделайте новый лог virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Bob Rowsky Опубликовано 30 мая, 2010 Автор Поделиться Опубликовано 30 мая, 2010 (изменено) Сделано. Файл С:\W\S32\Dllcache\c_708.nls нужен системе или нет? virusinfo_syscheck.zip Изменено 30 мая, 2010 пользователем Bob Rowsky Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 30 мая, 2010 Поделиться Опубликовано 30 мая, 2010 чисто. Ссылка на комментарий Поделиться на другие сайты Поделиться
Bob Rowsky Опубликовано 30 мая, 2010 Автор Поделиться Опубликовано 30 мая, 2010 (изменено) чисто. Да! Огромнючее спасибо. А вначале казалось - излечение невозможно. Таки файл С:\Windows\system32\Dllcache\c_708.nls убивать напрочь, или он нужен системе? Изменено 30 мая, 2010 пользователем Bob Rowsky Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 30 мая, 2010 Поделиться Опубликовано 30 мая, 2010 А больше к его имени ничего не было дописано? Проверьте его на virustotal Ссылку на результат проверки сообщите Ссылка на комментарий Поделиться на другие сайты Поделиться
Bob Rowsky Опубликовано 30 мая, 2010 Автор Поделиться Опубликовано 30 мая, 2010 (изменено) А больше к его имени ничего не было дописано? Проверьте его на virustotal Ссылку на результат проверки сообщите Было дописано типа С:\Windows\system32\Dllcache\c_708.nls:Ujx... (точно сейчас не скажу, напишу сегодня днем)Проверил на virustotal. Вот - http://www.virustotal.com/ru/analisis/5c2d...5846-1264614295 вроде чисто. Что делать? Изменено 30 мая, 2010 пользователем Bob Rowsky Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 31 мая, 2010 Поделиться Опубликовано 31 мая, 2010 Результат проверки слишком древний. Повторите проверку, выбрав Проверить заново или что-то в этом роде Также выполните Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Ссылка на комментарий Поделиться на другие сайты Поделиться
Bob Rowsky Опубликовано 1 июня, 2010 Автор Поделиться Опубликовано 1 июня, 2010 (изменено) А больше к его имени ничего не было дописано? Проверьте его на virustotal Ссылку на результат проверки сообщите В строке AppInit_DLLs к файлу c_708.nls было дописано вот так С:\W\S32\Dllcache\c_708.nls:UxJXDINy5ID Изменено 1 июня, 2010 пользователем Bob Rowsky Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 1 июня, 2010 Поделиться Опубликовано 1 июня, 2010 Ждем логи RSIT Ссылка на комментарий Поделиться на другие сайты Поделиться
Bob Rowsky Опубликовано 1 июня, 2010 Автор Поделиться Опубликовано 1 июня, 2010 Вот логи RSIT info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 1 июня, 2010 Поделиться Опубликовано 1 июня, 2010 Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) Временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processes explorer.exe :Services :Files C:\WINDOWS\system32\yowc.dll C:\WINDOWS\system32\pbyhyah.dll C:\WINDOWS\system32\puiqjj.dll C:\WINDOWS\system32\cgpqgvc.dll C:\WINDOWS\system32\z.dll C:\WINDOWS\system32\p.dll C:\WINDOWS\system32\hukrwj.dll C:\WINDOWS\system32\jfhnfyviq.dll C:\WINDOWS\system32\diedshf.dll C:\WINDOWS\system32\xbey.dll C:\WINDOWS\system32\hbdzdvnvy.dll C:\WINDOWS\system32\byimiergn.dll C:\WINDOWS\system32\sjcfxu.dll C:\WINDOWS\system32\sigrluz.dll C:\WINDOWS\system32\galatww.dll C:\WINDOWS\system32\fbj.dll C:\WINDOWS\system32\lotz.dll C:\WINDOWS\system32\rrqusonlz.dll :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H] :Commands [purity] [emptytemp] [start explorer] [Reboot] В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Компьютер перезагрузится. Сделайте новый лог rsit. Ссылка на комментарий Поделиться на другие сайты Поделиться
Bob Rowsky Опубликовано 1 июня, 2010 Автор Поделиться Опубликовано 1 июня, 2010 Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) Временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Компьютер перезагрузится. Сделайте новый лог rsit. Сделано OTM и логи RIST. info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти