02.06.2010, 11:55 | #1 (ссылка) |
Новичок
Регистрация: 02.06.2010
Сообщений: 11
Репутация: 0
|
Баннер 3381 - подскажите дальнейший процесс лечения
Проблема как у многих - баннер 3381 черно-желтый.
Сделано следующее: проверено LiveCD, но свежих dll не найдено (найдены подозрительные в давних файлах, все удалены). После этого AVZ не запустилось совсем. Использован IceSword, строка в AppInt_Dll: C:\WINDOWS\Fonts\Corbel.TTF:Qpt4DPRM Строка удалена. После этого AVZ запустился, но сразу же комп выключился. Далее с флешки запущен hijackthis портабельный, как только создался текстовый файл - компьютер завис напрочь. Флешка просмотрена на ноутбуке (к счастью, имею доступ в интернет с ноутбука, лечу стационарный компьютер) - NOD 32 нашел 12 файлов вируса на флешке E/RECYCLER/Win32/Kryptik.ERK. Удалены с флешки NODом. Текстовый файл выложен http://exfile.ru/105234 Что делать дальше? PS. Ребята, спасибо за подробные инструкции. Первый раз столкнулась так глубоко со всякими файловыми системами, но описания тут на форуме выложены очень понятные. Татьяна. |
02.06.2010, 11:57 | #2 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Taya,
Вот такие http://pchelpforum.ru/showpost.php?p=229780&postcount=3 логи еще выполните. |
02.06.2010, 12:14 | #3 (ссылка) |
Новичок
Регистрация: 02.06.2010
Сообщений: 11
Репутация: 0
|
Сделан Generate Startuplist log, при его создании сразу на экране появился баннер.
Созданный файл: http://exfile.ru/105238 Компьютер перезагружен, сделан Open Ads spy. Ничего не обнаружено. |
02.06.2010, 12:23 | #5 (ссылка) |
Новичок
Регистрация: 02.06.2010
Сообщений: 11
Репутация: 0
|
Сложный для меня вопрос, мне её дали на диске. Перезвонила, говорят версия от 19 мая DrWeb, и что в реестр попасть смогу.
Или могу скачать нужную версию (скажите где) и записать на флешку (СD в ноутбуке нет), запустить с флешки. |
02.06.2010, 12:27 | #6 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Taya,
Тут http://pchelpforum.ru/showpost.php?p=69244&postcount=2 ссылка на LiveCD и инструкция как попадать в реестр больной винды Если есть другой LiveCD то хорошо, главное чтоб был доступ к реестру больной винды. Загружаетесь с него и в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows у параметра AppInit_DLLs удалите значение C:\WINDOWS\system32\zhukzzga.dll Через LiveCD удалите скрытые файлы (если таковые найдутся) C:\WINDOWS\system32\zhukzzga.dll , C:\WINDOWS\system32\gmlsaqe.exe , C:\WINDOWS\system32\syschecked.exe Перезагрузитесь в обычную винду и сделайте логи по инструкции http://pchelpforum.ru/showpost.php?p=37758&postcount=1 Если avz нова не запустится то повторите лог http://pchelpforum.ru/showpost.php?p=229780&postcount=3 |
02.06.2010, 13:28 | #8 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Taya,
У вас при начальной загрузке (когда картинка БИОС появляется) в меню есть указание на кнопки F12 (boot menu) или F8 (BBS Popup) ? Если есть то попробуйте понажимать. Тогда появится окно выбора загрузочных устройств, в нем кликните по HDD и в списке HDD выберите флешку. ЗЫ А если через меню БИОС Boot Device то попробуйте (при вставленной флешке) назначить приоитет с HDD и в меню HDD так же выставите первым в списке вашу флешку. ЗЫ №2 А чего ваш LiveCD не используете? Вы ж с него загружались вроде В вашем LiveCD что на рабочем столе изображено (какая картинка)? |
Ads | |
02.06.2010, 14:09 | #9 (ссылка) |
Новичок
Регистрация: 02.06.2010
Сообщений: 11
Репутация: 0
|
Загрузилась с флешки (тот LiveCD, который 170Мв), удалила в AppInit_DLLs значение C:\WINDOWS\system32\zhukzzga.dll
Также нашла файлы C:\WINDOWS\system32\zhukzzga.dll , C:\WINDOWS\system32\gmlsaqe.exe , C:\WINDOWS\system32\syschecked.exe, удалила через Мой компьютер (корзину после тоже очистить на всякий случай?) Сейчас смотрю по дате создания файлов в папке sistem32 - есть еще приложение точно с того момента времени, когда пошел вирус - lqvrvuc.exe Его тоже удаляю? И еще вопрос - тут же есть еще несколько файлов , датированные после возникновения вируса, в том числе сегодняшним утром ( временем, когда комп был точно выключен) - их удалять? (ueaj.dll , ljcix.dll , aga.dll , qndh.dll , hvscatp.dll , wpa.dbl , nvapps.xml) В моем LiveCD на зеленом фоне был в центре изображен Паучок DrWeb |
02.06.2010, 14:13 | #10 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Taya,
Остальные файлы пока не трогайте!!! Очень важно чтоб вы выполнили только то что я написал ранее!!! Не занимайтесь самодеятельностью до нашей команды Сейчас сделайте логи avz по инструкции и пришлите их. ЗЫ Тот LiveCD с паучком это продукт Drweb. В нем только сканирование и работа в файловом менеджере |
02.06.2010, 14:54 | #11 (ссылка) |
Новичок
Регистрация: 02.06.2010
Сообщений: 11
Репутация: 0
|
При загрузке обычной виндоус было сообщение "не удалось найти c\windows\system32\gmlsaqe.exe"
AVZ открылся, скрипт №3 пока выполняется. Хочу написать еще следующее - хронологию событий, может как -то поможет. У меня есть свой давний сайт, сделан на html, изменяется редко. Для закачки файлов на сервер использую FileZilla. 28 мая при работе с FileZilla программа предложила установить обновление, что было сделано. При следующем открытии 30 мая ФайлЗиллы и появился злополучный баннер. Вчера при попытке открыть мой сайт Гугл написал что он распространяет вредоносные программы. При просмотре через админку хостинга увидела, что у файла index.html и файла скрипта на Java, вызываемого главной страницей, дата последнего изменения 30 мая, и примерно то время когда у меня сработал баннер на экране. В футере страницы оказался чужой закодированный скрипт. На сайте все файлы были сразу вычищены, поставлен бекап от 29 мая. Текст скрипта с вирусом у меня есть (сохранен в ворде), он закодирован. Если это чем-то поможет - могу выслать. Что в данном случае у меня получилось первично - обновление ФайлЗиллы было заражено и отправило скрипт на сайт или наоборот - скрипт разместили на сайте и он попал в комп через ФТП - не знаю. |
02.06.2010, 15:35 | #13 (ссылка) |
Новичок
Регистрация: 02.06.2010
Сообщений: 11
Репутация: 0
|
http://exfile.ru/105288 - архив virusinfo_syscure.zip
при проверке флешки NOD пишет что обнаружены вирусы E\avz\Infected\2010-06-02\avz00001.dta - Win32/Delf.PJG троян E\avz\Infected\2010-06-02\avz00002.dta - Win32/Delf.PJG троян Их удалить или это какие-то файлы AVZ которые NOD считает вирусами? |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Баннер 3381 | Apofes | Безопасность | 1 | 18.06.2010 21:33 |
Баннер 3381 текст 16216617449 | maximus59 | Безопасность | 4 | 14.06.2010 21:42 |
Баннер www.pornhub.com с текстом 1830171201106 на номер 3381 | Adik | Безопасность | 1 | 09.06.2010 12:39 |
Убрать баннер 3381 текст 4100618 | Basssound | Безопасность | 5 | 05.06.2010 21:25 |
Баннер с текстом 9536823 на номер 3381 | Гекон | Безопасность | 10 | 03.06.2010 15:11 |
Баннер pornohub.com, смс на номер 3381 | aistoff | Безопасность | 9 | 31.05.2010 19:05 |
Неубиваемый баннер. SMS на номер 3381 с текстом М201017332 | Vist | Безопасность | 41 | 19.05.2010 20:36 |
Баннер: смс с текстом T701016000 на номер 3381 | wisem | Безопасность | 48 | 19.05.2010 01:19 |
Баннер : текст 151133 9 на номер 3381 | xwolfx | Безопасность | 3 | 16.05.2010 17:19 |
После лечения от вирусов..... Подскажите как исправить??? | bvas | Безопасность | 37 | 05.05.2010 23:08 |
подскажите скрипт лечения плиз | Dawkoo | Безопасность | 11 | 12.10.2009 06:16 |