Баннер 3381 - подскажите дальнейший процесс лечения

Taya · 02.06.2010, 11:55

Проблема как у многих - баннер 3381 черно-желтый.
Сделано следующее: проверено LiveCD, но свежих dll не найдено (найдены подозрительные в давних файлах, все удалены). После этого AVZ не запустилось совсем.

Использован IceSword, строка в AppInt_Dll: C:\WINDOWS\Fonts\Corbel.TTF:Qpt4DPRM
Строка удалена. После этого AVZ запустился, но сразу же комп выключился.

Далее с флешки запущен hijackthis портабельный, как только создался текстовый файл - компьютер завис напрочь.
Флешка просмотрена на ноутбуке (к счастью, имею доступ в интернет с ноутбука, лечу стационарный компьютер) - NOD 32 нашел 12 файлов вируса на флешке E/RECYCLER/Win32/Kryptik.ERK. Удалены с флешки NODом.
Текстовый файл выложен http://exfile.ru/105234
Что делать дальше?

PS.
Ребята, спасибо за подробные инструкции. Первый раз столкнулась так глубоко со всякими файловыми системами, но описания тут на форуме выложены очень понятные.
Татьяна.

01pump · 02.06.2010, 11:57

Taya,
Вот такие http://pchelpforum.ru/showpost.php?p=229780&postcount=3 логи еще выполните.

Taya · 02.06.2010, 12:14

Сделан Generate Startuplist log, при его создании сразу на экране появился баннер.
Созданный файл: http://exfile.ru/105238

Компьютер перезагружен, сделан Open Ads spy. Ничего не обнаружено.

01pump · 02.06.2010, 12:16

Taya,

Какая у вас LiveCD? Вы с её помощью в реестр больной винды попасть сможете?

Taya · 02.06.2010, 12:23

Сложный для меня вопрос, мне её дали на диске. Перезвонила, говорят версия от 19 мая DrWeb, и что в реестр попасть смогу.
Или могу скачать нужную версию (скажите где) и записать на флешку (СD в ноутбуке нет), запустить с флешки.

01pump · 02.06.2010, 12:27

Taya,

Тут http://pchelpforum.ru/showpost.php?p=69244&postcount=2 ссылка на LiveCD и инструкция как попадать в реестр больной винды

Если есть другой LiveCD то хорошо, главное чтоб был доступ к реестру больной винды.

Загружаетесь с него и в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows у параметра AppInit_DLLs удалите значение C:\WINDOWS\system32\zhukzzga.dll
Через LiveCD удалите скрытые файлы (если таковые найдутся) C:\WINDOWS\system32\zhukzzga.dll , C:\WINDOWS\system32\gmlsaqe.exe , C:\WINDOWS\system32\syschecked.exe
Перезагрузитесь в обычную винду и сделайте логи по инструкции http://pchelpforum.ru/showpost.php?p=37758&postcount=1

Если avz нова не запустится то повторите лог http://pchelpforum.ru/showpost.php?p=229780&postcount=3

Taya · 02.06.2010, 13:18

Я прошу прощения за абсолютно чайниковский вопрос, но когда выбираю загрузку с флешки (на которую записала LiveCD) - в Boot Device нужно выбрать USB-CDROM или USB-HDD ?

01pump · 02.06.2010, 13:28

Taya,

У вас при начальной загрузке (когда картинка БИОС появляется) в меню есть указание на кнопки F12 (boot menu) или F8 (BBS Popup) ?

Если есть то попробуйте понажимать. Тогда появится окно выбора загрузочных устройств, в нем кликните по HDD и в списке HDD выберите флешку.

ЗЫ А если через меню БИОС Boot Device то попробуйте (при вставленной флешке) назначить приоитет с HDD и в меню HDD так же выставите первым в списке вашу флешку.

ЗЫ №2 А чего ваш LiveCD не используете? Вы ж с него загружались вроде

В вашем LiveCD что на рабочем столе изображено (какая картинка)?

Taya · 02.06.2010, 14:09

Загрузилась с флешки (тот LiveCD, который 170Мв), удалила в AppInit_DLLs значение C:\WINDOWS\system32\zhukzzga.dll
Также нашла файлы C:\WINDOWS\system32\zhukzzga.dll , C:\WINDOWS\system32\gmlsaqe.exe , C:\WINDOWS\system32\syschecked.exe, удалила через Мой компьютер (корзину после тоже очистить на всякий случай?)
Сейчас смотрю по дате создания файлов в папке sistem32 - есть еще приложение точно с того момента времени, когда пошел вирус - lqvrvuc.exe Его тоже удаляю?

И еще вопрос - тут же есть еще несколько файлов , датированные после возникновения вируса, в том числе сегодняшним утром ( временем, когда комп был точно выключен) - их удалять?
(ueaj.dll , ljcix.dll , aga.dll , qndh.dll , hvscatp.dll , wpa.dbl , nvapps.xml)

В моем LiveCD на зеленом фоне был в центре изображен Паучок DrWeb

01pump · 02.06.2010, 14:13

Taya,

Остальные файлы пока не трогайте!!!
Очень важно чтоб вы выполнили только то что я написал ранее!!! Не занимайтесь самодеятельностью до нашей команды

Сейчас сделайте логи avz по инструкции и пришлите их.

ЗЫ Тот LiveCD с паучком это продукт Drweb. В нем только сканирование и работа в файловом менеджере

Taya · 02.06.2010, 14:54

При загрузке обычной виндоус было сообщение "не удалось найти c\windows\system32\gmlsaqe.exe"
AVZ открылся, скрипт №3 пока выполняется.

Хочу написать еще следующее - хронологию событий, может как -то поможет.
У меня есть свой давний сайт, сделан на html, изменяется редко. Для закачки файлов на сервер использую FileZilla.
28 мая при работе с FileZilla программа предложила установить обновление, что было сделано.
При следующем открытии 30 мая ФайлЗиллы и появился злополучный баннер.

Вчера при попытке открыть мой сайт Гугл написал что он распространяет вредоносные программы.
При просмотре через админку хостинга увидела, что у файла index.html и файла скрипта на Java, вызываемого главной страницей, дата последнего изменения 30 мая, и примерно то время когда у меня сработал баннер на экране. В футере страницы оказался чужой закодированный скрипт.
На сайте все файлы были сразу вычищены, поставлен бекап от 29 мая. Текст скрипта с вирусом у меня есть (сохранен в ворде), он закодирован. Если это чем-то поможет - могу выслать.
Что в данном случае у меня получилось первично - обновление ФайлЗиллы было заражено и отправило скрипт на сайт или наоборот - скрипт разместили на сайте и он попал в комп через ФТП - не знаю.

01pump · 02.06.2010, 15:03

Taya,

Вероятно на вашем компе уже были троянчики. Или взломали сайт или попали через дырку в "заборе". С последующим размещением в коде своего зловреда.
Вариантов мульён

Ждем от вас лог avz

Taya · 02.06.2010, 15:35

http://exfile.ru/105288 - архив virusinfo_syscure.zip

при проверке флешки NOD пишет что обнаружены вирусы
E\avz\Infected\2010-06-02\avz00001.dta - Win32/Delf.PJG троян
E\avz\Infected\2010-06-02\avz00002.dta - Win32/Delf.PJG троян
Их удалить или это какие-то файлы AVZ которые NOD считает вирусами?

01pump · 02.06.2010, 15:38

Taya,

Давайте сначала вы выполните то что вас просят выполнить????

Потом после лечения будем заниматься второстепенными вопросами

Сейчас лог проверю и сообщу

Taya · 02.06.2010, 15:41

Я выполняю только то что написано. Но AVZ у меня на флешке, и перед тем как вставить её в чистый работающий ноут я её проверяю, и про всё подозрительное сразу пишу.
Честное слово, делаю всё по инструкции.

02.06.2010, 11:55	#1 (ссылка)
Taya Новичок Регистрация: 02.06.2010 Сообщений: 11 Репутация: 0	Баннер 3381 - подскажите дальнейший процесс лечения Проблема как у многих - баннер 3381 черно-желтый. Сделано следующее: проверено LiveCD, но свежих dll не найдено (найдены подозрительные в давних файлах, все удалены). После этого AVZ не запустилось совсем. Использован IceSword, строка в AppInt_Dll: C:\WINDOWS\Fonts\Corbel.TTF:Qpt4DPRM Строка удалена. После этого AVZ запустился, но сразу же комп выключился. Далее с флешки запущен hijackthis портабельный, как только создался текстовый файл - компьютер завис напрочь. Флешка просмотрена на ноутбуке (к счастью, имею доступ в интернет с ноутбука, лечу стационарный компьютер) - NOD 32 нашел 12 файлов вируса на флешке E/RECYCLER/Win32/Kryptik.ERK. Удалены с флешки NODом. Текстовый файл выложен http://exfile.ru/105234 Что делать дальше? PS. Ребята, спасибо за подробные инструкции. Первый раз столкнулась так глубоко со всякими файловыми системами, но описания тут на форуме выложены очень понятные. Татьяна.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Баннер 3381	Apofes	Безопасность	1	18.06.2010 21:33
Баннер 3381 текст 16216617449	maximus59	Безопасность	4	14.06.2010 21:42
Баннер www.pornhub.com с текстом 1830171201106 на номер 3381	Adik	Безопасность	1	09.06.2010 12:39
Убрать баннер 3381 текст 4100618	Basssound	Безопасность	5	05.06.2010 21:25
Баннер с текстом 9536823 на номер 3381	Гекон	Безопасность	10	03.06.2010 15:11
Баннер pornohub.com, смс на номер 3381	aistoff	Безопасность	9	31.05.2010 19:05
Неубиваемый баннер. SMS на номер 3381 с текстом М201017332	Vist	Безопасность	41	19.05.2010 20:36
Баннер: смс с текстом T701016000 на номер 3381	wisem	Безопасность	48	19.05.2010 01:19
Баннер : текст 151133 9 на номер 3381	xwolfx	Безопасность	3	16.05.2010 17:19
После лечения от вирусов..... Подскажите как исправить???	bvas	Безопасность	37	05.05.2010 23:08
подскажите скрипт лечения плиз	Dawkoo	Безопасность	11	12.10.2009 06:16

02.06.2010, 11:57	#2 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Taya, Вот такие http://pchelpforum.ru/showpost.php?p=229780&postcount=3 логи еще выполните.

02.06.2010, 12:14	#3 (ссылка)
Taya Новичок Регистрация: 02.06.2010 Сообщений: 11 Репутация: 0	Сделан Generate Startuplist log, при его создании сразу на экране появился баннер. Созданный файл: http://exfile.ru/105238 Компьютер перезагружен, сделан Open Ads spy. Ничего не обнаружено.

02.06.2010, 12:16	#4 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Taya, Какая у вас LiveCD? Вы с её помощью в реестр больной винды попасть сможете?

02.06.2010, 12:23	#5 (ссылка)
Taya Новичок Регистрация: 02.06.2010 Сообщений: 11 Репутация: 0	Сложный для меня вопрос, мне её дали на диске. Перезвонила, говорят версия от 19 мая DrWeb, и что в реестр попасть смогу. Или могу скачать нужную версию (скажите где) и записать на флешку (СD в ноутбуке нет), запустить с флешки.

02.06.2010, 12:27	#6 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Taya, Тут http://pchelpforum.ru/showpost.php?p=69244&postcount=2 ссылка на LiveCD и инструкция как попадать в реестр больной винды Если есть другой LiveCD то хорошо, главное чтоб был доступ к реестру больной винды. Загружаетесь с него и в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows у параметра AppInit_DLLs удалите значение C:\WINDOWS\system32\zhukzzga.dll Через LiveCD удалите скрытые файлы (если таковые найдутся) C:\WINDOWS\system32\zhukzzga.dll , C:\WINDOWS\system32\gmlsaqe.exe , C:\WINDOWS\system32\syschecked.exe Перезагрузитесь в обычную винду и сделайте логи по инструкции http://pchelpforum.ru/showpost.php?p=37758&postcount=1 Если avz нова не запустится то повторите лог http://pchelpforum.ru/showpost.php?p=229780&postcount=3

02.06.2010, 13:18	#7 (ссылка)
Taya Новичок Регистрация: 02.06.2010 Сообщений: 11 Репутация: 0	Я прошу прощения за абсолютно чайниковский вопрос, но когда выбираю загрузку с флешки (на которую записала LiveCD) - в Boot Device нужно выбрать USB-CDROM или USB-HDD ?

02.06.2010, 13:28	#8 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Taya, У вас при начальной загрузке (когда картинка БИОС появляется) в меню есть указание на кнопки F12 (boot menu) или F8 (BBS Popup) ? Если есть то попробуйте понажимать. Тогда появится окно выбора загрузочных устройств, в нем кликните по HDD и в списке HDD выберите флешку. ЗЫ А если через меню БИОС Boot Device то попробуйте (при вставленной флешке) назначить приоитет с HDD и в меню HDD так же выставите первым в списке вашу флешку. ЗЫ №2 А чего ваш LiveCD не используете? Вы ж с него загружались вроде В вашем LiveCD что на рабочем столе изображено (какая картинка)?

02.06.2010, 14:09	#9 (ссылка)
Taya Новичок Регистрация: 02.06.2010 Сообщений: 11 Репутация: 0	Загрузилась с флешки (тот LiveCD, который 170Мв), удалила в AppInit_DLLs значение C:\WINDOWS\system32\zhukzzga.dll Также нашла файлы C:\WINDOWS\system32\zhukzzga.dll , C:\WINDOWS\system32\gmlsaqe.exe , C:\WINDOWS\system32\syschecked.exe, удалила через Мой компьютер (корзину после тоже очистить на всякий случай?) Сейчас смотрю по дате создания файлов в папке sistem32 - есть еще приложение точно с того момента времени, когда пошел вирус - lqvrvuc.exe Его тоже удаляю? И еще вопрос - тут же есть еще несколько файлов , датированные после возникновения вируса, в том числе сегодняшним утром ( временем, когда комп был точно выключен) - их удалять? (ueaj.dll , ljcix.dll , aga.dll , qndh.dll , hvscatp.dll , wpa.dbl , nvapps.xml) В моем LiveCD на зеленом фоне был в центре изображен Паучок DrWeb

02.06.2010, 14:13	#10 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Taya, Остальные файлы пока не трогайте!!! Очень важно чтоб вы выполнили только то что я написал ранее!!! Не занимайтесь самодеятельностью до нашей команды Сейчас сделайте логи avz по инструкции и пришлите их. ЗЫ Тот LiveCD с паучком это продукт Drweb. В нем только сканирование и работа в файловом менеджере

02.06.2010, 14:54	#11 (ссылка)
Taya Новичок Регистрация: 02.06.2010 Сообщений: 11 Репутация: 0	При загрузке обычной виндоус было сообщение "не удалось найти c\windows\system32\gmlsaqe.exe" AVZ открылся, скрипт №3 пока выполняется. Хочу написать еще следующее - хронологию событий, может как -то поможет. У меня есть свой давний сайт, сделан на html, изменяется редко. Для закачки файлов на сервер использую FileZilla. 28 мая при работе с FileZilla программа предложила установить обновление, что было сделано. При следующем открытии 30 мая ФайлЗиллы и появился злополучный баннер. Вчера при попытке открыть мой сайт Гугл написал что он распространяет вредоносные программы. При просмотре через админку хостинга увидела, что у файла index.html и файла скрипта на Java, вызываемого главной страницей, дата последнего изменения 30 мая, и примерно то время когда у меня сработал баннер на экране. В футере страницы оказался чужой закодированный скрипт. На сайте все файлы были сразу вычищены, поставлен бекап от 29 мая. Текст скрипта с вирусом у меня есть (сохранен в ворде), он закодирован. Если это чем-то поможет - могу выслать. Что в данном случае у меня получилось первично - обновление ФайлЗиллы было заражено и отправило скрипт на сайт или наоборот - скрипт разместили на сайте и он попал в комп через ФТП - не знаю.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

02.06.2010, 15:03	#12 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Taya, Вероятно на вашем компе уже были троянчики. Или взломали сайт или попали через дырку в "заборе". С последующим размещением в коде своего зловреда. Вариантов мульён Ждем от вас лог avz

02.06.2010, 15:35	#13 (ссылка)
Taya Новичок Регистрация: 02.06.2010 Сообщений: 11 Репутация: 0	http://exfile.ru/105288 - архив virusinfo_syscure.zip при проверке флешки NOD пишет что обнаружены вирусы E\avz\Infected\2010-06-02\avz00001.dta - Win32/Delf.PJG троян E\avz\Infected\2010-06-02\avz00002.dta - Win32/Delf.PJG троян Их удалить или это какие-то файлы AVZ которые NOD считает вирусами?

02.06.2010, 15:38	#14 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Taya, Давайте сначала вы выполните то что вас просят выполнить???? Потом после лечения будем заниматься второстепенными вопросами Сейчас лог проверю и сообщу

02.06.2010, 15:41	#15 (ссылка)
Taya Новичок Регистрация: 02.06.2010 Сообщений: 11 Репутация: 0	Я выполняю только то что написано. Но AVZ у меня на флешке, и перед тем как вставить её в чистый работающий ноут я её проверяю, и про всё подозрительное сразу пишу. Честное слово, делаю всё по инструкции.