Баннер pornohub.com, смс на номер 3381

aistoff · 30.05.2010, 20:16

При попытке запустить Оперу, на Рабочем столе появляется банер. Просит отправить смс на номер 3381 с текстом 1820151771838.

Блокированы Диспетчер задач, regedit..

Грузился с Windows miniPE, запустил там CureIt!, он типа потер файл Trojan.WinLock.1685, но видимо я пропустил что-то.

Удалось запустить только портативную версию hijackthis. При завершении ее работы Винда сразу уходит в перезагрузку - так и не понял особенность ли это самой проги, либо вируса.. Лог, который выцепил после перезагрузки системы, надеюсь, что полный:

hijackthis.log

Помошите, пожалуйста, буду очень благодарен!

P.S. Файл 123.exe на Рабочем столе в логе это и есть переименованный hijackthis.

01pump · 30.05.2010, 20:19

aistoff,

Такие http://pchelpforum.ru/showpost.php?p=229780&postcount=3 логи сделайте

Гризлик · 30.05.2010, 20:27

aistoff, Запустите HijackThis и нажмите Do System Scan Only В открывшимся окне найдите и отметьте строчки:

Код:

O4 - HKCU\..\Policies\Explorer\Run: [Sys.Check] C:\WINDOWS\system32\syschecked.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

И нажмите Fix Check После перезагрузки выполните лог в AVZ

aistoff · 30.05.2010, 20:49

01pump,
1) startuplist.txt
2) Во втором тесте ничего обнаружено не было.

P.S. Если что, галочки никакие не менял и не ставил, все по умолчанию.

---------- Добавлено в 19:49 ---------- Предыдущее сообщение было написано в 19:31 ----------

Гризлик,
Сделал, но при открытии папки AVZ комп сразу перезагружается.
Переименовал папку и сам exe-шник, но при запуске комп выклчился.

01pump · 30.05.2010, 21:24

aistoff,

Попробуйте скачать http://exfile.ru/104092 и распаковав запустить. Это аналог редактора реестра Windows
В нем в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows у параметра AppInit_DLLs удалите значение C:\WINDOWS\system32\typc.dll и затем попробуйте запустить утилиту avz и выполнить такой лог http://pchelpforum.ru/showpost.php?p=37758&postcount=1

Если avz не запустится то:
Тут http://pchelpforum.ru/showpost.php?p=69244&postcount=2 инструкция к LiveCD (да и сам LiveCD) как попасть в больной реестр.
Если сможете с вашего LiveCD попасть в нужную ветку реестра больной винды то это будет очень хорошо.
Вы должны загрузившись с LiveCD по инструкции http://pchelpforum.ru/showpost.php?p=69244&postcount=2 в реестре в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows у параметра AppInit_DLLs удалить значение C:\WINDOWS\system32\typc.dll а так же сам скрытый файл C:\WINDOWS\system32\typc.dll
После чего перезагрузитесь в обычную винду и попробуйте запустить avz

aistoff · 30.05.2010, 23:33

01pump,
Да, после манипуляций с LiveCD, кажется, получилось:
virusinfo_syscure.zip

И спасибо за приятную версию WinPE!

Гризлик · 31.05.2010, 00:52

aistoff, Запустите AVZ В меню Файл--Выполнить скрипт В окошко вставьте текст:

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('C:\WINDOWS\system32\syschecked.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Sys.Check');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

И нажмите Запустить. Пройзойдет перезагрузка. После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите лог (файл virusinfo_syschek.zip)

Также проверьте на http://virustotal.com файл C:\WINDOWS\system32\prbiudp.exe Если там скажут что этот файл проверялся, то всеравно выполните проверку. О результате отпишитесь

aistoff · 31.05.2010, 01:50

Гризлик,
Вот лог:
virusinfo_syscheck.zip

Цитата:

Сообщение от Гризлик

Также проверьте на http://virustotal.com файл C:\WINDOWS\system32\prbiudp.exe

А вот сие указание выполнить не удалось. Скрытые файлы отображаются, системные файлы тоже открыты. Нет его там, файла этого!.. Раз 5 всматривался в список, опасаясь, что глюки из-за относительно позднего врмени.

Ну и конечно спасибо большое за помощь! Толковую и оперативную!
Тут только система репутации, функции "Спасибо" ведь нету? *Оглядывает страницу*

Гризлик · 31.05.2010, 02:01

Цитата:

Сообщение от aistoff

А вот сие указание выполнить не удалось. Скрытые файлы отображаются, системные файлы тоже открыты. Нет его там, файла этого!.. Раз 5 всматривался в список, опасаясь, что глюки из-за относительно позднего врмени.

А по поиску пробывали искать?

aistoff · 31.05.2010, 19:05

Гризлик,
Обнаружился лишь его отголосок в папке: C:\Windows\Prefetch. Самого этого файла нет.

30.05.2010, 20:16	#1 (ссылка)
aistoff Новичок Регистрация: 30.05.2010 Сообщений: 5 Репутация: 0	Баннер pornohub.com, смс на номер 3381 При попытке запустить Оперу, на Рабочем столе появляется банер. Просит отправить смс на номер 3381 с текстом 1820151771838. Блокированы Диспетчер задач, regedit.. Грузился с Windows miniPE, запустил там CureIt!, он типа потер файл Trojan.WinLock.1685, но видимо я пропустил что-то. Удалось запустить только портативную версию hijackthis. При завершении ее работы Винда сразу уходит в перезагрузку - так и не понял особенность ли это самой проги, либо вируса.. Лог, который выцепил после перезагрузки системы, надеюсь, что полный: hijackthis.log Помошите, пожалуйста, буду очень благодарен! P.S. Файл 123.exe на Рабочем столе в логе это и есть переименованный hijackthis.

30.05.2010, 20:27	#3 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	aistoff, Запустите HijackThis и нажмите Do System Scan Only В открывшимся окне найдите и отметьте строчки: Код: O4 - HKCU\..\Policies\Explorer\Run: [Sys.Check] C:\WINDOWS\system32\syschecked.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 И нажмите Fix Check После перезагрузки выполните лог в AVZ

31.05.2010, 00:52	#7 (ссылка)
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	aistoff, Запустите AVZ В меню Файл--Выполнить скрипт В окошко вставьте текст: Код: begin SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('C:\WINDOWS\system32\syschecked.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Sys.Check'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(17); BC_Activate; RebootWindows(true); end. И нажмите Запустить. Пройзойдет перезагрузка. После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите лог (файл virusinfo_syschek.zip) Также проверьте на http://virustotal.com файл C:\WINDOWS\system32\prbiudp.exe Если там скажут что этот файл проверялся, то всеравно выполните проверку. О результате отпишитесь

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Банер на номер 3381 с текстом 1860101502127	Alex-33	Безопасность	11	07.07.2010 23:25
текст 35401114 на номер 3381	Tanya Nikitina	Безопасность	1	01.07.2010 18:47
Банер pornohub.com 3381 с текстом 35301017	Valenciy	Безопасность	2	24.06.2010 21:44
Порно банер на номер 3381	Blade354	Безопасность	6	17.06.2010 17:16
Информер 16216617424 на номер 3381, коды не помогли	need_help	Безопасность	5	12.06.2010 16:56
Баннер www.pornhub.com с текстом 1830171201106 на номер 3381	Adik	Безопасность	1	09.06.2010 12:39
Баннер с текстом 9536823 на номер 3381	Гекон	Безопасность	10	03.06.2010 15:11
Еще раз про вирус www.pornohub.com номер 3381	stasmat	Безопасность	8	01.06.2010 15:14
Неубиваемый баннер. SMS на номер 3381 с текстом М201017332	Vist	Безопасность	41	19.05.2010 20:36
Баннер: смс с текстом T701016000 на номер 3381	wisem	Безопасность	48	19.05.2010 01:19
Баннер : текст 151133 9 на номер 3381	xwolfx	Безопасность	3	16.05.2010 17:19

30.05.2010, 20:19	#2 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	aistoff, Такие http://pchelpforum.ru/showpost.php?p=229780&postcount=3 логи сделайте

30.05.2010, 20:49	#4 (ссылка)
aistoff Новичок Регистрация: 30.05.2010 Сообщений: 5 Репутация: 0	01pump, 1) startuplist.txt 2) Во втором тесте ничего обнаружено не было. P.S. Если что, галочки никакие не менял и не ставил, все по умолчанию. ---------- Добавлено в 19:49 ---------- Предыдущее сообщение было написано в 19:31 ---------- Гризлик, Сделал, но при открытии папки AVZ комп сразу перезагружается. Переименовал папку и сам exe-шник, но при запуске комп выклчился.

30.05.2010, 21:24	#5 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	aistoff, Попробуйте скачать http://exfile.ru/104092 и распаковав запустить. Это аналог редактора реестра Windows В нем в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows у параметра AppInit_DLLs удалите значение C:\WINDOWS\system32\typc.dll и затем попробуйте запустить утилиту avz и выполнить такой лог http://pchelpforum.ru/showpost.php?p=37758&postcount=1 Если avz не запустится то: Тут http://pchelpforum.ru/showpost.php?p=69244&postcount=2 инструкция к LiveCD (да и сам LiveCD) как попасть в больной реестр. Если сможете с вашего LiveCD попасть в нужную ветку реестра больной винды то это будет очень хорошо. Вы должны загрузившись с LiveCD по инструкции http://pchelpforum.ru/showpost.php?p=69244&postcount=2 в реестре в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows у параметра AppInit_DLLs удалить значение C:\WINDOWS\system32\typc.dll а так же сам скрытый файл C:\WINDOWS\system32\typc.dll После чего перезагрузитесь в обычную винду и попробуйте запустить avz

30.05.2010, 23:33	#6 (ссылка)
aistoff Новичок Регистрация: 30.05.2010 Сообщений: 5 Репутация: 0	01pump, Да, после манипуляций с LiveCD, кажется, получилось: virusinfo_syscure.zip И спасибо за приятную версию WinPE!

31.05.2010, 19:05	#10 (ссылка)
aistoff Новичок Регистрация: 30.05.2010 Сообщений: 5 Репутация: 0	Гризлик, Обнаружился лишь его отголосок в папке: C:\Windows\Prefetch. Самого этого файла нет.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads