Bob Rowsky 0 Опубликовано 30 мая, 2010 Share Опубликовано 30 мая, 2010 (изменено) В ОС Windows проник блокирующий вирус. Заблокированы диспетчер задач, редактор реестра. Пропала вкладка восстановление системы. Компьютер стал тугодумом. Визуально - на рабочем столе белый баннер, две одинаковых топлесс-тетки по бокам, просьба отправить смс с определенным текстом на номер 3381. Поработал ERD Commander-ом. В ветке HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows содержание параметра AppInit_DLLs - С:\W\S32\Dllcache\c_708.nls. Содержание параметра убрано. Сам параметр AppInit_DLLs оставлен пустым. Файл c_708.nls "зафоршмачен". После чего удалось выполнить логи avz и hijackthis, которые прилагаю. Прошу дальнейшей помощи. Файл c_708.nls удалять окончательно? virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 30 мая, 2010 пользователем Bob Rowsky Цитата Ссылка на сообщение Поделиться на другие сайты
klon21 1 Опубликовано 30 мая, 2010 Share Опубликовано 30 мая, 2010 Попробуй вот здесь http://support.kaspersky.ru/viruses/deblocker или напиши текст который нужно оправить на 3381 Цитата Ссылка на сообщение Поделиться на другие сайты
Bob Rowsky 0 Опубликовано 30 мая, 2010 Автор Share Опубликовано 30 мая, 2010 (изменено) Попробуй вот здесь http://support.kaspersky.ru/viruses/deblocker или напиши текст который нужно оправить на 3381 Спасибо. Но извини, ты не понял. Блокировки уже нет. Сейчас этап зачистки. Изменено 30 мая, 2010 пользователем Bob Rowsky Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 30 мая, 2010 Share Опубликовано 30 мая, 2010 AVZ добил других прихвостней вируса Выполните скрипт в AVZ begin ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(17); RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end. Компьютер перезагрузится. Сделайте новый лог virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Bob Rowsky 0 Опубликовано 30 мая, 2010 Автор Share Опубликовано 30 мая, 2010 (изменено) Сделано. Файл С:\W\S32\Dllcache\c_708.nls нужен системе или нет? virusinfo_syscheck.zip Изменено 30 мая, 2010 пользователем Bob Rowsky Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 30 мая, 2010 Share Опубликовано 30 мая, 2010 чисто. Цитата Ссылка на сообщение Поделиться на другие сайты
Bob Rowsky 0 Опубликовано 30 мая, 2010 Автор Share Опубликовано 30 мая, 2010 (изменено) чисто. Да! Огромнючее спасибо. А вначале казалось - излечение невозможно. Таки файл С:\Windows\system32\Dllcache\c_708.nls убивать напрочь, или он нужен системе? Изменено 30 мая, 2010 пользователем Bob Rowsky Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 30 мая, 2010 Share Опубликовано 30 мая, 2010 А больше к его имени ничего не было дописано? Проверьте его на virustotal Ссылку на результат проверки сообщите Цитата Ссылка на сообщение Поделиться на другие сайты
Bob Rowsky 0 Опубликовано 30 мая, 2010 Автор Share Опубликовано 30 мая, 2010 (изменено) А больше к его имени ничего не было дописано? Проверьте его на virustotal Ссылку на результат проверки сообщите Было дописано типа С:\Windows\system32\Dllcache\c_708.nls:Ujx... (точно сейчас не скажу, напишу сегодня днем)Проверил на virustotal. Вот - http://www.virustotal.com/ru/analisis/5c2d...5846-1264614295 вроде чисто. Что делать? Изменено 30 мая, 2010 пользователем Bob Rowsky Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 31 мая, 2010 Share Опубликовано 31 мая, 2010 Результат проверки слишком древний. Повторите проверку, выбрав Проверить заново или что-то в этом роде Также выполните Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Цитата Ссылка на сообщение Поделиться на другие сайты
Bob Rowsky 0 Опубликовано 1 июня, 2010 Автор Share Опубликовано 1 июня, 2010 (изменено) А больше к его имени ничего не было дописано? Проверьте его на virustotal Ссылку на результат проверки сообщите В строке AppInit_DLLs к файлу c_708.nls было дописано вот так С:\W\S32\Dllcache\c_708.nls:UxJXDINy5ID Изменено 1 июня, 2010 пользователем Bob Rowsky Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 1 июня, 2010 Share Опубликовано 1 июня, 2010 Ждем логи RSIT Цитата Ссылка на сообщение Поделиться на другие сайты
Bob Rowsky 0 Опубликовано 1 июня, 2010 Автор Share Опубликовано 1 июня, 2010 Вот логи RSIT info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 1 июня, 2010 Share Опубликовано 1 июня, 2010 Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) Временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processes explorer.exe :Services :Files C:\WINDOWS\system32\yowc.dll C:\WINDOWS\system32\pbyhyah.dll C:\WINDOWS\system32\puiqjj.dll C:\WINDOWS\system32\cgpqgvc.dll C:\WINDOWS\system32\z.dll C:\WINDOWS\system32\p.dll C:\WINDOWS\system32\hukrwj.dll C:\WINDOWS\system32\jfhnfyviq.dll C:\WINDOWS\system32\diedshf.dll C:\WINDOWS\system32\xbey.dll C:\WINDOWS\system32\hbdzdvnvy.dll C:\WINDOWS\system32\byimiergn.dll C:\WINDOWS\system32\sjcfxu.dll C:\WINDOWS\system32\sigrluz.dll C:\WINDOWS\system32\galatww.dll C:\WINDOWS\system32\fbj.dll C:\WINDOWS\system32\lotz.dll C:\WINDOWS\system32\rrqusonlz.dll :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H] :Commands [purity] [emptytemp] [start explorer] [Reboot] В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Компьютер перезагрузится. Сделайте новый лог rsit. Цитата Ссылка на сообщение Поделиться на другие сайты
Bob Rowsky 0 Опубликовано 1 июня, 2010 Автор Share Опубликовано 1 июня, 2010 Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) Временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Компьютер перезагрузится. Сделайте новый лог rsit. Сделано OTM и логи RIST. info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.