Перейти к содержанию

СМС-баннер


Рекомендуемые сообщения

В ОС Windows проник блокирующий вирус. Заблокированы диспетчер задач, редактор реестра. Пропала вкладка восстановление системы. Компьютер стал тугодумом. Визуально - на рабочем столе белый баннер, две одинаковых топлесс-тетки по бокам, просьба отправить смс с определенным текстом на номер 3381.

Поработал ERD Commander-ом. В ветке HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows содержание параметра AppInit_DLLs - С:\W\S32\Dllcache\c_708.nls. Содержание параметра убрано. Сам параметр AppInit_DLLs оставлен пустым. Файл c_708.nls "зафоршмачен". После чего удалось выполнить логи avz и hijackthis, которые прилагаю. Прошу дальнейшей помощи.

Файл c_708.nls удалять окончательно?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем Bob Rowsky
Ссылка на сообщение
Поделиться на другие сайты
Попробуй вот здесь

http://support.kaspersky.ru/viruses/deblocker

или напиши текст который нужно оправить на 3381

Спасибо. Но извини, ты не понял. Блокировки уже нет. Сейчас этап зачистки.

Изменено пользователем Bob Rowsky
Ссылка на сообщение
Поделиться на другие сайты

AVZ добил других прихвостней вируса

 

Выполните скрипт в AVZ

begin
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Сделайте новый лог virusinfo_syscheck.zip

Ссылка на сообщение
Поделиться на другие сайты
чисто.

Да! Огромнючее спасибо. А вначале казалось - излечение невозможно. Таки файл С:\Windows\system32\Dllcache\c_708.nls убивать напрочь, или он нужен системе?

Изменено пользователем Bob Rowsky
Ссылка на сообщение
Поделиться на другие сайты

А больше к его имени ничего не было дописано?

 

Проверьте его на virustotal

Ссылку на результат проверки сообщите

Ссылка на сообщение
Поделиться на другие сайты
А больше к его имени ничего не было дописано?

 

Проверьте его на virustotal

Ссылку на результат проверки сообщите

Было дописано типа С:\Windows\system32\Dllcache\c_708.nls:Ujx... (точно сейчас не скажу, напишу сегодня днем)

Проверил на virustotal. Вот - http://www.virustotal.com/ru/analisis/5c2d...5846-1264614295

 

вроде чисто. Что делать?

Изменено пользователем Bob Rowsky
Ссылка на сообщение
Поделиться на другие сайты

Результат проверки слишком древний. Повторите проверку, выбрав Проверить заново или что-то в этом роде

 

Также выполните

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Ссылка на сообщение
Поделиться на другие сайты
А больше к его имени ничего не было дописано?

 

Проверьте его на virustotal

Ссылку на результат проверки сообщите

В строке AppInit_DLLs к файлу c_708.nls было дописано вот так С:\W\S32\Dllcache\c_708.nls:UxJXDINy5ID

Изменено пользователем Bob Rowsky
Ссылка на сообщение
Поделиться на другие сайты

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\yowc.dll
C:\WINDOWS\system32\pbyhyah.dll
C:\WINDOWS\system32\puiqjj.dll
C:\WINDOWS\system32\cgpqgvc.dll
C:\WINDOWS\system32\z.dll
C:\WINDOWS\system32\p.dll
C:\WINDOWS\system32\hukrwj.dll
C:\WINDOWS\system32\jfhnfyviq.dll
C:\WINDOWS\system32\diedshf.dll
C:\WINDOWS\system32\xbey.dll
C:\WINDOWS\system32\hbdzdvnvy.dll
C:\WINDOWS\system32\byimiergn.dll
C:\WINDOWS\system32\sjcfxu.dll
C:\WINDOWS\system32\sigrluz.dll
C:\WINDOWS\system32\galatww.dll
C:\WINDOWS\system32\fbj.dll
C:\WINDOWS\system32\lotz.dll
C:\WINDOWS\system32\rrqusonlz.dll
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

 

Компьютер перезагрузится.

 

Сделайте новый лог rsit.

Ссылка на сообщение
Поделиться на другие сайты
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

Временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

 

Компьютер перезагрузится.

 

Сделайте новый лог rsit.

Сделано OTM и логи RIST.

info.txt

log.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...