30.05.2010, 20:16 | #1 (ссылка) |
Новичок
Регистрация: 30.05.2010
Сообщений: 5
Репутация: 0
|
Баннер pornohub.com, смс на номер 3381
При попытке запустить Оперу, на Рабочем столе появляется банер. Просит отправить смс на номер 3381 с текстом 1820151771838.
Блокированы Диспетчер задач, regedit.. Грузился с Windows miniPE, запустил там CureIt!, он типа потер файл Trojan.WinLock.1685, но видимо я пропустил что-то. Удалось запустить только портативную версию hijackthis. При завершении ее работы Винда сразу уходит в перезагрузку - так и не понял особенность ли это самой проги, либо вируса.. Лог, который выцепил после перезагрузки системы, надеюсь, что полный: hijackthis.log Помошите, пожалуйста, буду очень благодарен! P.S. Файл 123.exe на Рабочем столе в логе это и есть переименованный hijackthis. |
30.05.2010, 20:27 | #3 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
aistoff, Запустите HijackThis и нажмите Do System Scan Only В открывшимся окне найдите и отметьте строчки:
Код:
O4 - HKCU\..\Policies\Explorer\Run: [Sys.Check] C:\WINDOWS\system32\syschecked.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 |
30.05.2010, 20:49 | #4 (ссылка) |
Новичок
Регистрация: 30.05.2010
Сообщений: 5
Репутация: 0
|
01pump,
1) startuplist.txt 2) Во втором тесте ничего обнаружено не было. P.S. Если что, галочки никакие не менял и не ставил, все по умолчанию. ---------- Добавлено в 19:49 ---------- Предыдущее сообщение было написано в 19:31 ---------- Гризлик, Сделал, но при открытии папки AVZ комп сразу перезагружается. Переименовал папку и сам exe-шник, но при запуске комп выклчился. |
30.05.2010, 21:24 | #5 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
aistoff,
Попробуйте скачать http://exfile.ru/104092 и распаковав запустить. Это аналог редактора реестра Windows В нем в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows у параметра AppInit_DLLs удалите значение C:\WINDOWS\system32\typc.dll и затем попробуйте запустить утилиту avz и выполнить такой лог http://pchelpforum.ru/showpost.php?p=37758&postcount=1 Если avz не запустится то: Тут http://pchelpforum.ru/showpost.php?p=69244&postcount=2 инструкция к LiveCD (да и сам LiveCD) как попасть в больной реестр. Если сможете с вашего LiveCD попасть в нужную ветку реестра больной винды то это будет очень хорошо. Вы должны загрузившись с LiveCD по инструкции http://pchelpforum.ru/showpost.php?p=69244&postcount=2 в реестре в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows у параметра AppInit_DLLs удалить значение C:\WINDOWS\system32\typc.dll а так же сам скрытый файл C:\WINDOWS\system32\typc.dll После чего перезагрузитесь в обычную винду и попробуйте запустить avz |
30.05.2010, 23:33 | #6 (ссылка) |
Новичок
Регистрация: 30.05.2010
Сообщений: 5
Репутация: 0
|
01pump,
Да, после манипуляций с LiveCD, кажется, получилось: virusinfo_syscure.zip И спасибо за приятную версию WinPE! |
31.05.2010, 00:52 | #7 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
aistoff, Запустите AVZ В меню Файл--Выполнить скрипт В окошко вставьте текст:
Код:
begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('C:\WINDOWS\system32\syschecked.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Sys.Check'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(17); BC_Activate; RebootWindows(true); end. Также проверьте на http://virustotal.com файл C:\WINDOWS\system32\prbiudp.exe Если там скажут что этот файл проверялся, то всеравно выполните проверку. О результате отпишитесь |
31.05.2010, 01:50 | #8 (ссылка) | |
Новичок
Регистрация: 30.05.2010
Сообщений: 5
Репутация: 0
|
Гризлик,
Вот лог: virusinfo_syscheck.zip Цитата:
Ну и конечно спасибо большое за помощь! Толковую и оперативную! Тут только система репутации, функции "Спасибо" ведь нету? *Оглядывает страницу* |
|
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Банер на номер 3381 с текстом 1860101502127 | Alex-33 | Безопасность | 11 | 07.07.2010 23:25 |
текст 35401114 на номер 3381 | Tanya Nikitina | Безопасность | 1 | 01.07.2010 18:47 |
Банер pornohub.com 3381 с текстом 35301017 | Valenciy | Безопасность | 2 | 24.06.2010 21:44 |
Порно банер на номер 3381 | Blade354 | Безопасность | 6 | 17.06.2010 17:16 |
Информер 16216617424 на номер 3381, коды не помогли | need_help | Безопасность | 5 | 12.06.2010 16:56 |
Баннер www.pornhub.com с текстом 1830171201106 на номер 3381 | Adik | Безопасность | 1 | 09.06.2010 12:39 |
Баннер с текстом 9536823 на номер 3381 | Гекон | Безопасность | 10 | 03.06.2010 15:11 |
Еще раз про вирус www.pornohub.com номер 3381 | stasmat | Безопасность | 8 | 01.06.2010 15:14 |
Неубиваемый баннер. SMS на номер 3381 с текстом М201017332 | Vist | Безопасность | 41 | 19.05.2010 20:36 |
Баннер: смс с текстом T701016000 на номер 3381 | wisem | Безопасность | 48 | 19.05.2010 01:19 |
Баннер : текст 151133 9 на номер 3381 | xwolfx | Безопасность | 3 | 16.05.2010 17:19 |