Перейти к содержанию
Правила раздела

СМС-баннер

Bob Rowsky

От Bob Rowsky
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Bob Rowsky Постоялец

Bob Rowsky

Опубликовано
Опубликовано (изменено)

В ОС Windows проник блокирующий вирус. Заблокированы диспетчер задач, редактор реестра. Пропала вкладка восстановление системы. Компьютер стал тугодумом. Визуально - на рабочем столе белый баннер, две одинаковых топлесс-тетки по бокам, просьба отправить смс с определенным текстом на номер 3381.

Поработал ERD Commander-ом. В ветке HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows содержание параметра AppInit_DLLs - С:\W\S32\Dllcache\c_708.nls. Содержание параметра убрано. Сам параметр AppInit_DLLs оставлен пустым. Файл c_708.nls "зафоршмачен". После чего удалось выполнить логи avz и hijackthis, которые прилагаю. Прошу дальнейшей помощи.

Файл c_708.nls удалять окончательно?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем Bob Rowsky
Ссылка на комментарий
Поделиться на другие сайты
Bob Rowsky Постоялец

Bob Rowsky

Опубликовано
  • Автор
Опубликовано (изменено)
Попробуй вот здесь

http://support.kaspersky.ru/viruses/deblocker

или напиши текст который нужно оправить на 3381

Спасибо. Но извини, ты не понял. Блокировки уже нет. Сейчас этап зачистки.

Изменено пользователем Bob Rowsky
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

AVZ добил других прихвостней вируса

 

Выполните скрипт в AVZ

begin
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Сделайте новый лог virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
Bob Rowsky Постоялец

Bob Rowsky

Опубликовано
  • Автор
Опубликовано (изменено)
чисто.

Да! Огромнючее спасибо. А вначале казалось - излечение невозможно. Таки файл С:\Windows\system32\Dllcache\c_708.nls убивать напрочь, или он нужен системе?

Изменено пользователем Bob Rowsky
Ссылка на комментарий
Поделиться на другие сайты
Bob Rowsky Постоялец

Bob Rowsky

Опубликовано
  • Автор
Опубликовано (изменено)
А больше к его имени ничего не было дописано?

 

Проверьте его на virustotal

Ссылку на результат проверки сообщите

Было дописано типа С:\Windows\system32\Dllcache\c_708.nls:Ujx... (точно сейчас не скажу, напишу сегодня днем)

Проверил на virustotal. Вот - http://www.virustotal.com/ru/analisis/5c2d...5846-1264614295

 

вроде чисто. Что делать?

Изменено пользователем Bob Rowsky
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Результат проверки слишком древний. Повторите проверку, выбрав Проверить заново или что-то в этом роде

 

Также выполните

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Ссылка на комментарий
Поделиться на другие сайты
Bob Rowsky Постоялец

Bob Rowsky

Опубликовано
  • Автор
Опубликовано (изменено)
А больше к его имени ничего не было дописано?

 

Проверьте его на virustotal

Ссылку на результат проверки сообщите

В строке AppInit_DLLs к файлу c_708.nls было дописано вот так С:\W\S32\Dllcache\c_708.nls:UxJXDINy5ID

Изменено пользователем Bob Rowsky
Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\yowc.dll
C:\WINDOWS\system32\pbyhyah.dll
C:\WINDOWS\system32\puiqjj.dll
C:\WINDOWS\system32\cgpqgvc.dll
C:\WINDOWS\system32\z.dll
C:\WINDOWS\system32\p.dll
C:\WINDOWS\system32\hukrwj.dll
C:\WINDOWS\system32\jfhnfyviq.dll
C:\WINDOWS\system32\diedshf.dll
C:\WINDOWS\system32\xbey.dll
C:\WINDOWS\system32\hbdzdvnvy.dll
C:\WINDOWS\system32\byimiergn.dll
C:\WINDOWS\system32\sjcfxu.dll
C:\WINDOWS\system32\sigrluz.dll
C:\WINDOWS\system32\galatww.dll
C:\WINDOWS\system32\fbj.dll
C:\WINDOWS\system32\lotz.dll
C:\WINDOWS\system32\rrqusonlz.dll
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

 

Компьютер перезагрузится.

 

Сделайте новый лог rsit.

Ссылка на комментарий
Поделиться на другие сайты
Bob Rowsky Постоялец

Bob Rowsky

Опубликовано
  • Автор
Опубликовано
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

 

Компьютер перезагрузится.

 

Сделайте новый лог rsit.

Сделано OTM и логи RIST.

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • umdraak
      Фишинговая СМС-рассылка. Уязвимость смартфона. Нужна помощь.
      От umdraak
      Доброго времени суток!
       
      Ситуация следующая. На смартфон пришла смс-ка такого содержания: 
       
      "Здравствуйте! Вы подключили сервис <<Гороскоп дня>>. Стоимость 15 руб./день. Отключить подписку: [далее следует ccылка, готов предоставить].."

      Подозревая фишинг, хотел пробить ссылку в интернете на спецсайтах, но сослепу не заметил, что скопировал её в адресное окно браузера и случайно перешёл на сайт по указанной ссылке. Визуально произошла имитация процедуры отписки от некой мифической подписки и всё. Сам сайт - явно на коленке созданная имитация сервиса гороскопов.

      В ужасе пробил-таки ссылку на VirusTotal - сам сайт сильно засветиться не успел (создан 15 дней назад), но он входит в созвездие других сайтов, многие из которых уже обозначены в некоторых базах данных в качестве угроз безопасности.

      Все манипуляции со ссылкой происходили на смартфоне (Samsung, Android). На телефоне установлена бесплатная версия антивируса Kaspersky - прогнал проверку устройства, ничего не найдено.

      Просьба помочь в установлении природы той уязвимости, в которую я вляпался, и подсказать шаги по исправлению ситуации.
       
      (Если сюда можно сбрасывать ссылки на вредоносные сайты, то сброшу. Если нет, подскажите куда направить.)
       
      Заранее огромное спасибо! 
       
    • Роман04
      Как убрать баннер Kaspersky Free
      От Роман04
      Периодически выезжает такой банер "Обнаружено 1 новое обновление для вашего приложения". В настройках "Обновление приложений" недоступно, т.к. kaspersky free.
      Мне нужно отключить этот функционал или хотя бы раздражающее уведомление. Как это сделать?
       
       

    • Илья Семагин
      Анти-баннер в телефоне
      От Илья Семагин
      Здравствуйте! У меня Касперский Плюс на смартфоне и ноутбуке. На ноутбуке включил анти-баннер - реклама исчезла - красота! Можно ли сделать то же самое в телефоне? Я полазал в Касперском на телефоне, анти-баннера (как на ноуте) к сожалению не нашел
    • KL FC Bot
      Как предотвратить слежку через рекламные баннеры | Блог Касперского
      От KL FC Bot
      О гигантских масштабах слежки за интернет-пользователями мы писали не раз. За каждым кликом на веб-сайтах, прокруткой экрана в мобильном приложении и вводом слова в поисковую форму следят десятки технологических компаний и рекламных фирм. Кроме телефонов и компьютеров, в этом участвуют смарт-часы, умные ТВ и колонки и даже автомобили. Как выясняется, эти залежи информации используются не только рекламными агентствами, для того чтобы предложить вам лучший пылесос или страховку. Через различные компании-посредники эти данные охотно приобретают спецслужбы всех мастей: полиция, разведка и так далее. Вот недавнее расследование подобной практики, посвященное платформе Patternz и «рекламной» фирме Nuviad. До этого аналогичные расследования затрагивали компании Rayzone, Near Intelligence и другие. Компании, юрисдикции их регистрации, списки клиентов отличаются, но общий рецепт один и тот же: собирать служебную информацию, генерируемую при показе рекламы, сохранять ее, а потом перепродавать силовым структурам различных стран.
      За кулисами контекстной рекламы
      Ранее мы подробно описывали, как данные собираются на веб-страницах и в приложениях, но не уделяли внимания механизму их использования. Если сильно упростить, то в современном Интернете за каждый показанный баннер или рекламную ссылку ведется молниеносная сложная торговля. Рекламодатель загружает в специальную платформу (DSP, Demand-side-platform) свою рекламу и требования к аудитории, а платформа находит подходящие сайты или приложения для показа этой рекламы. Затем DSP вступает в аукцион за нужные виды рекламы (баннер, видео и тому подобное), отображаемые на этих сайтах и в приложениях. В зависимости от того, что за пользователь смотрит рекламу и насколько он подходит под требования рекламодателя, победить в аукционе могут те или иные типы рекламы. Этот процесс называется аукционом в реальном времени, RTB (real-time bidding). В момент торга его участники получают информацию о потенциальном потребителе рекламы: данные, ранее собранные о человеке, суммируются в короткую карточку описания. В зависимости от того, на каких платформах это происходит, состав этих данных может отличаться, но вполне типичным набором будет примерное или точное местоположение клиента, используемое им устройство, версия ОС, а также «демографические и психографические атрибуты», проще говоря — пол, возраст, состав семьи, хобби и другие интересующие этого пользователя темы.
       
      Посмотреть статью полностью
    • linktab
      KIS 21.3.10.391(k). Причина прихода СМС-ки на мобильник?
      От linktab
      До конца подписки на Kaspersky Internet Security 21.3.10.391(k) осталось 20 дней и на мобильник пришла смс-ка: "VISAXXX Недостаточно средств. Покупка 1629р KASPERSKYLAB Баланс: 0р". Это предупреждение мне или кто-то пытался купить подписку за мой счёт?
×
×
  • Создать...