Перейти к содержанию

И снова рекламный баннер.


Рекомендуемые сообщения

Думаю всё понятно. Вылез рекламный баннер. В интернете искал такой, но не нашёл. Заражённый компьютер загружен в ERD Commander`e. ОС: XP SP3 x32 (x86). Нуждаюсь в помощи.

Ссылка на комментарий
Поделиться на другие сайты

пуск|start - выполнить|run - erdregedit

в подгруженном реестре с Вашего компьютера поищите в ветке

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

этот параметр

AppInit_DLLs

в ветке

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

этот параметр

userinit

и этот

shell

Приложите результат в новом сообщении (сами файлы не удаляйте!).

Ссылка на комментарий
Поделиться на другие сайты

Всё сделал как Вы и сказали, вот что в этих файлах написано:

AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll

Userinit: C:\Windows\System32\drivers\System32.exe

Shell: Explorer.exe

Ссылка на комментарий
Поделиться на другие сайты

Исправляете параметр userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe,

 

После этого делайте логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

Исправляете параметр userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe

Не помогло

Изменено пользователем modulle
Ссылка на комментарий
Поделиться на другие сайты

в конце обязательно должна быть запятая.

измените значение на правильное. выгрузите реестр (при этом он сохранится)

перезагрузитесь.

загрузитесь в обычный режим.

сделайте логи.

Ссылка на комментарий
Поделиться на другие сайты

Помощь больше не требуется :) Проверил всё программкой Malwarebytes' Anti-Malware и всё стало чики-пуки :)

Изменено пользователем modulle
Ссылка на комментарий
Поделиться на другие сайты

Помощь больше не требуется :) Проверил всё программкой Malwarebytes' Anti-Malware и всё стало чики-пуки :)

 

Не торопитесь, по вашим отчетам есть еще зловреды. Отчет о работе МБАМ сохранился?

 

 

Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

Begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\System32\drivers\System32.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll','');
DeleteFile('C:\Windows\System32\drivers\System32.exe');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','System32 Info Solution');
DelAutorunByFileName('C:\Windows\System32\drivers\System32.exe');
BC_ImportAll;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

+

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [System32 Info Solution] C:\Windows\System32\drivers\System32.exe

 

+

Установите Internet Explorer 8 (даже если им не пользуетесь)

 

Повторите логи по правилам в обычном режиме.

 

Отчет о работе МБАМ покажите. Если он у вас не сохранился, приложите скрин карантина МБАМ

 

 

VKSaver, GuardMailRu – сами устанавливали? Эти программы вам нужны?

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты

Установите Internet Explorer 8 (даже если им не пользуетесь)

Установил.

VKSaver, GuardMailRu – сами устанавливали? Эти программы вам нужны?

Устанавливал лично я. VKSaver уже удалил, т.к. перестал им пользоваться, Гвард оставил.

Скрин карантина также выложил, но он был сделан на следующий день до того, как я устранил проблему с рекламным баннером.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

post-20655-1307806527_thumb.jpg

Изменено пользователем modulle
Ссылка на комментарий
Поделиться на другие сайты

modulle, теперь чисто.

 

Обязательно деинсталлируйте МБАМ!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

+

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

+

AVZ - Файл\Мастер поиска и устранения проблем- системные проблемы – все проблемы - выбрать

>> Таймаут завершения процессов находится за пределами допустимых значений

>> Таймаут завершения служб находится за пределами допустимых значений

- Исправить отмеченные проблемы

 

+ обратите внимание. Службы, которые не используются на вашем компьютере, желательно отключить

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

 

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

 

 

Если Вы хотите избежать нового заражения, то желательно:

- не работать за компьютером с правами администратора;

- использовать альтернативный браузер;

- регулярно устанавливать обновления windows и обновлять антивирусные базы;

 

После завершения лечения советую вам посетить эту тему , чтобы узнать больше об эффективных мерах профилактики заражения.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Svejhiy
      От Svejhiy
      Проникся чувством ностальгии и решил скачать одну игрушку, а в ней троян был
      Игрушку удалил, лечение сделал, думал дело в шляпе, но вирус возвращается снова и снова после каждой перезагрузки
      Логи прикрепил
      CollectionLog-2024.10.22-18.04.zip
    • Камиль Махмутянов
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • GlibZabiv
      От GlibZabiv
      Здравствуйте, Касперский нашёл троян, который после лечения восстанавливается. Пытался бороться своими силами, ничего не вышло.
      CollectionLog-2024.10.20-18.37.zip
    • barank1n
      От barank1n
      Висит примерно уже две недели. Руки дошли только сегодня. Установлен Kaspersky Anti-Virus. Kaspersky обнаруживает этот троян после каждого запуска ПК, даже после лечения.  Образ Windows не официальный. Прикрепляю к данной теме файл с логами.
      CollectionLog-2024.10.22-22.01.zip report1.log report2.log
    • KL FC Bot
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
×
×
  • Создать...