Неубиваемый баннер. SMS на номер 3381 с текстом М201017332

Vist · 19.05.2010, 13:44

Плиззззз хелпппп!!!
Помогите удалить!!!
Единственное, что удалось сделать и то я думаю мне улыбнулась удача это зписать лог http://exfile.ru/101569
Этот баннер выскочил даже в безопасном режиме. Попытки запустить AVZ4, Hijack и прочие лекарства приводят к перезагрузке компа. Hijack успел снять лог,но комп перезагрузился. Читал на форуме что, после того как получу лог, его надо будет отправить на анализ и мне помогут определить какие строки удалить при следующем запуске Hijack. Как быть если комп будет перезагружаться до того как я смогу отметить эти строки.

01pump · 19.05.2010, 13:47

Vist,

В Hijack пофиксите (http://pchelpforum.ru/f26/t24207/) эту строку

Код:

 
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\dk1valp.exe,\\?\globalroot\systemroot\syste

И попробуйте запустить снова утилитки.
Еще такие логи пришлите
1) Это скачать http://exfile.ru/100815 и распаковать, запустить.
В меню "Full scan"-"Scan the system for alternate data streams" По окончании сканирования в окне найденных обьектов кликните правой кнопкой мышки "Save scan results to disk" и затем пришлите этот отчет.
2) Скачайте http://images.malwareremoval.com/random/RSIT.exe . Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Vist · 19.05.2010, 14:40

После удаления строки попытался запустить утилиты заново, но комп снова перезагрузился. Отправляю отчет http://exfile.ru/101591 созданный adsspy и повторный отчет Hijack http://exfile.ru/101592. Попытка запустить RSIT ни к чему не привела.... видимо блокируется баннером.

01pump · 19.05.2010, 14:44

Vist,

Еще пофиксите эти строчки

Код:

 
O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘|x
O4 - HKLM\..\Run: [Netprotocol] C:\WINDOWS\System32\netprotocol.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Перезагрузитесь И снова сделайте лог Hijack

Vist · 19.05.2010, 14:54

Перезагрузка продолжается. Новый лог http://exfile.ru/101594

01pump · 19.05.2010, 14:56

Vist,
У RSIT меняли название и расширение с exe а com ?

Vist · 19.05.2010, 15:03

нет не менял. сейчас попробую.

---------- Добавлено в 14:03 ---------- Предыдущее сообщение было написано в 13:58 ----------

После перезагрузки компа баннер не появляется.Поменял название и расширение. Как только кликнул на выполнение RSIT выскочил баннер и программа заблокировалась

01pump · 19.05.2010, 15:04

Vist,
Запустить hijack кнопкой Open the Misc Tools section далее Open Process manager справа поставить птичку Show Dll и нажмите "Дискетку" "Save list to file"
Этот лог пришлите

Vist · 19.05.2010, 15:13

вот этот файл http://exfile.ru/101600

01pump · 19.05.2010, 15:17

Vist,

Теперь там же в Open the Misc Tools section еще нажмите Generate Startuplist log и пришлите его.

Vist · 19.05.2010, 15:21

http://exfile.ru/101602

snifer67 · 19.05.2010, 15:24

C:\WINDOWS\system32\fqwnjdcf.dll переместите куда-нибудь.

01pump · 19.05.2010, 15:25

Vist,

Снова идем в Open the Misc Tools section и жмем кнопку "Delete file on reboot" и пробуем найти и убить такой файлик C:\WINDOWS\system32\fqwnjdcf.dll

Vist · 19.05.2010, 15:39

в окне глазами не удалось найти файл. Прописал путь и название файла. Компьтер выдал сообщене, что новые параметры вступят в силу после перезагрузки. После перезагрузки запустился AVZ. Обновил базы. Запустил сканирование. Жду отчета. Какие еще нужно выполнить рекомендации, что бы вылечить комп?

snifer67 · 19.05.2010, 15:43

virusinfo_syscure.zip надо.

19.05.2010, 13:44	#1 (ссылка)
Vist Новичок Регистрация: 19.05.2010 Сообщений: 19 Репутация: 0	Неубиваемый баннер. SMS на номер 3381 с текстом М201017332 Плиззззз хелпппп!!! Помогите удалить!!! Единственное, что удалось сделать и то я думаю мне улыбнулась удача это зписать лог http://exfile.ru/101569 Этот баннер выскочил даже в безопасном режиме. Попытки запустить AVZ4, Hijack и прочие лекарства приводят к перезагрузке компа. Hijack успел снять лог,но комп перезагрузился. Читал на форуме что, после того как получу лог, его надо будет отправить на анализ и мне помогут определить какие строки удалить при следующем запуске Hijack. Как быть если комп будет перезагружаться до того как я смогу отметить эти строки.

19.05.2010, 13:47	#2 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Vist, В Hijack пофиксите (http://pchelpforum.ru/f26/t24207/) эту строку Код: F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\dk1valp.exe,\\?\globalroot\systemroot\syste И попробуйте запустить снова утилитки. Еще такие логи пришлите 1) Это скачать http://exfile.ru/100815 и распаковать, запустить. В меню "Full scan"-"Scan the system for alternate data streams" По окончании сканирования в окне найденных обьектов кликните правой кнопкой мышки "Save scan results to disk" и затем пришлите этот отчет. 2) Скачайте http://images.malwareremoval.com/random/RSIT.exe . Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

19.05.2010, 14:44	#4 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Vist, Еще пофиксите эти строчки Код: O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘\|x O4 - HKLM\..\Run: [Netprotocol] C:\WINDOWS\System32\netprotocol.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Перезагрузитесь И снова сделайте лог Hijack

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Банер на номер 3381 с текстом 1860101502127	Alex-33	Безопасность	11	07.07.2010 23:25
Банер pornohub.com 3381 с текстом 35301017	Valenciy	Безопасность	2	24.06.2010 21:44
Порно банер на номер 3381	Blade354	Безопасность	6	17.06.2010 17:16
Баннер www.pornhub.com с текстом 1830171201106 на номер 3381	Adik	Безопасность	1	09.06.2010 12:39
Баннер с текстом 9536823 на номер 3381	Гекон	Безопасность	10	03.06.2010 15:11
Еще раз про вирус www.pornohub.com номер 3381	stasmat	Безопасность	8	01.06.2010 15:14
Баннер pornohub.com, смс на номер 3381	aistoff	Безопасность	9	31.05.2010 19:05
Баннер с текстом на номер	ILAFIL1996	Безопасность	17	29.05.2010 18:48
Баннер: смс с текстом T701016000 на номер 3381	wisem	Безопасность	48	19.05.2010 01:19
Баннер : текст 151133 9 на номер 3381	xwolfx	Безопасность	3	16.05.2010 17:19
Не могу удалить рекламный модуль с текстом 9423315 на номер 3381	мафиози	Безопасность	1	15.05.2010 15:05

19.05.2010, 14:40	#3 (ссылка)
Vist Новичок Регистрация: 19.05.2010 Сообщений: 19 Репутация: 0	После удаления строки попытался запустить утилиты заново, но комп снова перезагрузился. Отправляю отчет http://exfile.ru/101591 созданный adsspy и повторный отчет Hijack http://exfile.ru/101592. Попытка запустить RSIT ни к чему не привела.... видимо блокируется баннером.

19.05.2010, 14:54	#5 (ссылка)
Vist Новичок Регистрация: 19.05.2010 Сообщений: 19 Репутация: 0	Перезагрузка продолжается. Новый лог http://exfile.ru/101594

19.05.2010, 14:56	#6 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Vist, У RSIT меняли название и расширение с exe а com ?

19.05.2010, 15:03	#7 (ссылка)
Vist Новичок Регистрация: 19.05.2010 Сообщений: 19 Репутация: 0	нет не менял. сейчас попробую. ---------- Добавлено в 14:03 ---------- Предыдущее сообщение было написано в 13:58 ---------- После перезагрузки компа баннер не появляется.Поменял название и расширение. Как только кликнул на выполнение RSIT выскочил баннер и программа заблокировалась

19.05.2010, 15:04	#8 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Vist, Запустить hijack кнопкой Open the Misc Tools section далее Open Process manager справа поставить птичку Show Dll и нажмите "Дискетку" "Save list to file" Этот лог пришлите

19.05.2010, 15:13	#9 (ссылка)
Vist Новичок Регистрация: 19.05.2010 Сообщений: 19 Репутация: 0	вот этот файл http://exfile.ru/101600

19.05.2010, 15:17	#10 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Vist, Теперь там же в Open the Misc Tools section еще нажмите Generate Startuplist log и пришлите его.

19.05.2010, 15:21	#11 (ссылка)
Vist Новичок Регистрация: 19.05.2010 Сообщений: 19 Репутация: 0	http://exfile.ru/101602

19.05.2010, 15:24	#12 (ссылка)
snifer67 Стажёр Регистрация: 11.04.2010 Сообщений: 977 Репутация: 96	C:\WINDOWS\system32\fqwnjdcf.dll переместите куда-нибудь.

19.05.2010, 15:25	#13 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Vist, Снова идем в Open the Misc Tools section и жмем кнопку "Delete file on reboot" и пробуем найти и убить такой файлик C:\WINDOWS\system32\fqwnjdcf.dll

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

19.05.2010, 15:39	#14 (ссылка)
Vist Новичок Регистрация: 19.05.2010 Сообщений: 19 Репутация: 0	в окне глазами не удалось найти файл. Прописал путь и название файла. Компьтер выдал сообщене, что новые параметры вступят в силу после перезагрузки. После перезагрузки запустился AVZ. Обновил базы. Запустил сканирование. Жду отчета. Какие еще нужно выполнить рекомендации, что бы вылечить комп?

19.05.2010, 15:43	#15 (ссылка)
snifer67 Стажёр Регистрация: 11.04.2010 Сообщений: 977 Репутация: 96	virusinfo_syscure.zip надо.