Блокер

[ХАКИМ]

Друг поймал блокер, "ненавязчиво" так, просит пополнить счет абонента 89168736709 на 300руб.

Типа информер сайта *****! Рабочий стол заблокирован, в безопасном режиме тоже.

здесь я для него кода не нашел.

Что посоветуете?

Сообщение от модератора Mark D. Pearlstone

Ссылка на сайт удалена.

[Mark D. Pearlstone]

http://forum.kasperskyclub.ru/index.php?sh...st&p=385900

[ХАКИМ]

Сообщение от модератора Mark D. Pearlstone

Ссылка на сайт удалена.

извиняюсь!

А в качесиве лайва нельзя как то диск с кисом 2011 использовать?

у него на компе NOD 32 установлен, насколько я помню, и , если

можно с моего диска с кисом, то как это сделать?

[Mark D. Pearlstone]

извиняюсь!

А в качесиве лайва нельзя как то диск с кисом 2011 использовать?

у него на компе NOD 32 установлен, насколько я помню, и , если

можно с моего диска с кисом, то как это сделать?

Если вы о Kaspersky Rescue Disk, то он не позволяет редактировать реестр. Только если в вашем случае проверить систему на вирусы им.

[ХАКИМ]

Только если в вашем случае проверить систему на вирусы им.

 

А это может помочь? Или похоже, все таки придется ему свой комп ко мне тащить?

[Xenon]

А это может помочь? Или похоже, все таки придется ему свой комп ко мне тащить?

Далеко не факт что поможет.

[Mark D. Pearlstone]

А это может помочь? Или похоже, все таки придется ему свой комп ко мне тащить?

Что мешает другу выполнить рекомендации по ссылки, что я давал, поправить реестр и выложить логи?

[ХАКИМ]

Что мешает другу выполнить рекомендации по ссылки, что я давал, поправить реестр и выложить логи?

 

В принципе, абсолютно ничего, за исключением того, что я "чайник", а он еще хуже

Сказал ему чтоб волок свой комп сюда, будем держать ваши инструкции перед глазами,как говорится!

 

 

Далеко не факт что поможет.

 

Но, попробовать, в принципе можно, или не стоит?

[Mark D. Pearlstone]

Но, попробовать, в принципе можно, или не стоит?

Можно, но лучше сразу заняться другим вариантом.

[ХАКИМ]

В безопасном режиме его комп грузиться упорно не желает!

доступа к рабочему столу,увы, тоже нет!

 

А из консоли восстановления никак нельзя в редактор реестра влезть?

Изменено 3 апреля, 2011 пользователем ХАКИМ

[Roman_Five]

В безопасном режиме его комп грузиться упорно не желает!

а вариант 2?

[ХАКИМ]

а вариант 2?

 

Сейчас скачаю файлы, буду пробовать.

 

 

а вариант 2?

 

Образ записан?

 

СПАСИБО! Второй вариант прошел! Подключу его к интернету, выложу логи!

...... Косяк! Подключиться не могу с него, сетевая карта работать не хотит- показывает, что кабель не подключен! Смена кабеля на заведомо рабочий ничего не дала, как и переустановка драйвера!

Изменено 3 апреля, 2011 пользователем ХАКИМ

[ХАКИМ]

Ну вот и логи!virusinfo_syscure_1.zip

virusinfo_syscheck_2.zip

hijackthis.log

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('N:\autorun.inf','');
DeleteFile('N:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=C:\WINDOWS\EXPLORER.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\USERINIT.EXE
O4 - Global Startup: Microsoft Office.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

 

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

 

Сделайте новые логи по правилам.

[ХАКИМ]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('N:\autorun.inf','');
DeleteFile('N:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=C:\WINDOWS\EXPLORER.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\USERINIT.EXE
O4 - Global Startup: Microsoft Office.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

 

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

 

Сделайте новые логи по правилам.

 

Спасибо, счас сделаем! Только вот вопрос- систему ему ставил я, и насколько я помню IE я обновлял до восьмой версии, а счас показывает седьмую, это как так?

 

Пофиксите в HijackThis

При запуске вот такое окно

?

 

Сделал, вот логи

 

virusinfo_syscure_1.zip

 

virusinfo_syscheck_2.zip