Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Банер попрошайка (http://forum.oszone.net/showthread.php?t=177568)

Zuxel 07-06-2010 11:24 1429206
Банер попрошайка
 
Схватил банер, на ноутбуке стоит вин7, логфайл сделать невозможно т.к. в любом режиме блокируется раб.стол этим самым банером, вечный вопрос Н.Г. Чернышевского - "Что делать?"

MotherBoard 07-06-2010 11:50 1429227
Тогда вам необходимо на здоровом компьютере скачать Live CD , записать образ на диск и на проблемном компьютере загрузиться с него и обработать котот компьютер соответствующими утилитами..
http://www.freedrweb.com/livecd/

Zuxel 07-06-2010 11:57 1429235
Так я же объясняю что не могу ничего с компьютером сделать после того как он загрузился, даже в безопасном режиме, у меня появляется банер на весь рабочий стол и все, компьютер становится не функциональным, т.е. вообще ничего не нажимается и ничего не действует единственное что можно сделать только выключить его. Вот по этим самым причинам я не могу выполнить ни одного вашего правила. (p.s. пишу с другого рабочего компьютера)

я с удовольствием соберу и выложу для вас лог-файлы только скажите как это сделать при заблокированном рабочем столе или хотя бы открыть безопасный режим без этого дурацкого банера. Рабочий стол вообще ни на что не откликается...

MotherBoard 07-06-2010 12:05 1429247
Вы с ЛивСД загрузиться можете? Для этого отдельный диск нужен. :)

Zuxel 07-06-2010 12:06 1429248
да кстати, сейчас попробовал и получилось загрузить только командную строку и все

нет live cd у меня нет

да и кстати у меня в нетбуке нет дисковода возможно это осуществить с флешки?

Zuxel 07-06-2010 12:48 1429274
ну как на счет того что с флешки его запустить?

MotherBoard 07-06-2010 12:58 1429280
Если получится записать образ на флэшку, то попробуйте.. может сработает...

Zuxel 07-06-2010 13:06 1429288
удалось только после определенных движений по инету узнал как сделать флешку нужного формата и автозапуск, так что вот логи

MotherBoard 07-06-2010 13:22 1429302
Выполнить скрипт в AVZ
Меню файл/выполнить скрипт, скопировать полученный текст и нажать кнопку запустить

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\users\надя\appdata\local\microsoft\windows\temporary internet files\content.ie5\9enizhkv\vip_porno_24740.avi[1].exe','');
 DeleteFile('c:\users\надя\appdata\local\microsoft\windows\temporary internet files\content.ie5\9enizhkv\vip_porno_24740.avi[1].exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(11);
 ExecuteRepair(13);
 ExecuteRepair(16);
RebootWindows(true);
end.
Комп перезагрузится

выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Что с проблемами?

Пофиксить в HJT

Код:
F2 - REG:system.ini: Shell=C:\Users\Надя\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9ENIZHKV\vip_porno_24740.avi[1].exe
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Zuxel 07-06-2010 13:49 1429328
спасибо, помогло

MotherBoard 07-06-2010 13:54 1429332
Повторите логи AVZ с обновлёнными базами, плюс сделайте лог RSIT
Логи сделайте в нормальном режиме...
обновить базы в AVZ/меню файл/обновление баз.
Лог CF если есть есть, то тоже выложите

Карантины: файл AVZ quarantine.zip. и с\Qoobox\Quarantine отправьте через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Время: 18:05.

Время: 18:05.
© OSzone.net 2001-2025