[решено] mbr-banner раз в месяц. - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] mbr-banner раз в месяц. (http://forum.oszone.net/showthread.php?t=232892)

mbr-banner раз в месяц.

Здравствуйте! Христос Воскресе!
В общем ловится Баннер раз в месяц.(Постоянно битый(точечки-стрелочки)
Вычищаю- через месяц опять....
Ноут не мой... видимо что то пропускаю....

cher, Добрый вечер. Вас тоже с праздником. Делайте лог RSIT.

1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('D:\autorun.inf','');

 QuarantineFile('C:\autorun.inf','');

 QuarantineFile('C:\Windows\system32\6D25.tmp','');

 QuarantineFile('C:\Windows\system32\4BEF.tmp','');

 DeleteFile('C:\Windows\system32\4BEF.tmp');

 DeleteFile('C:\Windows\system32\6D25.tmp');

 DeleteFile('C:\autorun.inf');

 DeleteFile('D:\autorun.inf');

 DeleteFileMask('C:\Windows\system32','*.tmp',false);

 if MessageDlg('Отключить автозапуск со всех носителей кроме компакт-дисков?', mtInformation, mbYes+mbNo, 0) = 6 then

 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer','NoDriveTypeAutoRun','221');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

2.Видно что вы запускали MBAM, отчёт приложите.

3.Также подготовьте лог SecurityCheck by screen317:

Скачайте SecurityCheck by screen317 или с зеркала и сохраните утилиту на Рабочем столе.

Запустите программу, после появления консоли нажмите любую клавишу для начала сканирования.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Дождитесь завершения сканирования и формирования лога. Запостите содержимое лога утилиты в той теме, где вам оказывается помощь.

!!!Внимание
_____________________
Если увидите предупреждение от вашего фаервола, то разрешите SecurityCheck доступ в сеть.

выполнил/отправил.

Цитата:

Цитата Warrior Kratos

.Видно что вы запускали MBAM, отчёт приложите. »

Ничего особенного не было. Не сохранял. В новом логе так же.
Только скачанные инсталяторы в папке download. Удалил все.

p.s-тюряга накрутка.exe ?

Цитата:

Цитата cher

p.s-тюряга накрутка.exe ? »

это приложение для накрутки ворует пароли от аккаунта в контакте, так что если пользовались им, то в обязательно порядке смените их.

а что там с mbr? вижу надпись еще присутствует.

Цитата:

Цитата cher

а что там с mbr? вижу надпись еще присутствует. »

взглянул сейчас а там вымогатель

Код:

                Windows Заблокирован!!

                За просмотр гей-порно для разблокировки не обходимо

          

                Отправь SMS сообщение:

                Для россии:

                ------------

                Билайн и мегафон  

                C текстом: 79kopilka4828

                На номер: 1350

                ------------

                МТС:

                C текстом: 79kopilka4828

                На номер: 8510

                ------------

                Для Украины:

                ------------

                Kyivstar,life:) и MTC (UMC) 

                C текстом: 79kopilka4828

                На номер: 3855

                --------------------

                Стоимость смс: 150 рублей

cher, вам нужно в BIOS установить загрузку с CD-ROM'а, поместить в лоток CD-ROM'а загрузочный диск с установочным пакетом Windows XP Professional и перезагрузиться. Когда установщик Windows XP загрузит свои файлы в оперативную память ПК, появится диалоговое окно Установка Windows XP Professional, содержащее меню выбора, из которого нас интересует пункт *Чтобы восстановить Windows XP с помощью консоли восстановления, нажмите [R=Восстановить].

Нажмите R. Загрузится консоль восстановления. Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C:, то появится следующее сообщение:

1: C:\WINDOWS
В какую копию Windows следует выполнить вход?
Введите 1, нажмите Enter.
Появится сообщение:
Введите пароль администратора:
Введите пароль, нажмите Enter (если пароля нет, просто нажмите Enter).
Появится приглашение системы:
C:\WINDOWS>
введите fixmbr
Появится сообщение:

**ПРЕДУПРЕЖДЕНИЕ**

На этом компьютере присутствует нестандартная или недопустимая основная загрузочная запись. При использовании FIXMBR можно повредить имеющуюся таблицу разделов. Это приведет к утере доступа ко всем разделам текущего жесткого диска.

Если отсутствуют проблемы доступа к диску, рекомендуется прервать работу команды FIXMBR.

Подтверждаете запись новой MBR?
Введите y (что означает yes).
Появится сообщение:
Производится новая основная загрузочная запись на физический диск \Device\Harddisk0\Partition0.
Новая основная загрузочная запись успешно сделана.
На появившееся приглашение системы: C:\WINDOWS>
Введите fixboot
Появится сообщение:
Конечный раздел: C:.
Хотите записать новый загрузочный сектор в раздел C:?
Введите y (что означает yes).

Появится сообщение:
Файловая система в загрузочном разделе: NTFS (или FAT32).
Команда FIXBOOT записывает новый загрузочный сектор.
Новый загрузочный сектор успешно записан.

На приглашение системы C:\WINDOWS>

введите exit, начнется перезагрузка ПК. Нажмите Del, войдите в BIOS Setup и установите загрузку с жесткого диска.

ps. прошу, прощение если расписал это через чур подробно и вам всё это хорошо известно

все это выполнял. и bootsect /mbr all тоже.
Надпись не уходит.
windows 7 стоит.... делал через bootrec

AVZPM зачем включили ;) ? отключите и повторите лог AVZ.

+ Сделайте лог ComboFix

карантин MBR отправил в вирлабы.

Цитата:

Цитата cher

Надпись не уходит. »

cher, какую именно надпись вы имеете ввиду? где ?

сделайте пожалуйста скриншот надписи/блокера.

regist, надпись в логе tdsskiller, которую вы и обозначили.

Цитата:

Цитата cher

надпись в логе tdsskiller, »

этот лог тоже прикрепите. Скриншота банера у вас не сохранилось ? банер был похож на винлок или на MBR банер ? как от него избавлялись ?

Цитата:

Цитата regist

Скриншота банера у вас не сохранилось ? банер был похож на винлок или на MBR банер ? »

mbr, но

Цитата:

Цитата cher

(Постоянно битый(точечки-стрелочки) »

Цитата:

Цитата regist

как от него избавлялись ? »

bootrec.exe /fixmbr

Цитата:

9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей

рекомендую это отключить, больше ничего плохого не видно. В mbr это просто мусор от банера остался.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Цитата:

Цитата regist

В mbr это просто мусор от банера остался »

блин... как то неправильно, что ли такого рода мусор в mbr оставлять.. :)
Ладно... затру mbr - потом заново пропишу.

Для полного порядка ещё:

Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

+ Выполните Рекомендации после лечения.

Удалите ComboFix и деинсталируйте MBAM.

regist, Сразу после скана снес. :)
Спасибо за помощь!