Порнобанер, смс с текстом M20920007 на номер 3649
Здравствуйте!
По середине экрана висит порнобанер с предложением отправить смс с текстом M20920007 на номер 3649.
Получил данный подарок в письме.
Последние темы как раз были созданы по данной проблеме.
Все exe файлы блокируются в том числе и AVZ, переименование не помогает.
Удалось запустить только HJ, лог прилагаю.
Помогите, пожалуйста.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Перезагрузите компьютер.Код:O4 - HKCU\..\Policies\Explorer\Run: [Java Plug-in] C:\WINDOWS\system32\chknt32.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - AppInit_DLLs: C:\WINDOWS\system32\cRbor.dll O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
После этого должна запуститься AVZ - сделайте все логи по правилам.
GHETTO/STREET WORKOUT
сделал
1) Пофиксите в HijackThis:
2) Выполните скрипт в AVZ:Код:R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\СТАС\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\docume~1\2b62~1\applic~1\ufastd~1\p ropet~1.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\СТАС\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); DelBHO('{BA5D8DF9-1851-4660-B3AE-89E6E030AC34}'); QuarantineFile('C:\PROGRA~1\NETPRO~1\PAGEPR~1\PAGEPR~1.EXE',''); QuarantineFile('c:\docume~1\2b62~1\applic~1\ufastd~1\propet~1.exe',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\chknt32.exe',''); DeleteFile('C:\WINDOWS\system32\chknt32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); DeleteFile('c:\docume~1\2b62~1\applic~1\ufastd~1\propet~1.exe'); DeleteFile('C:\PROGRA~1\NETPRO~1\PAGEPR~1\PAGEPR~1.EXE'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(4); ExecuteRepair(11); ExecuteRepair(13); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
3) Затем выполните второй скрипт в AVZ:
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
4) Сделайте новые логи по правилам.
Последний раз редактировалось Ingener; 27.11.2009 в 04:14.
GHETTO/STREET WORKOUT
gotovo
russkii jzik pofiksilsia, vot chto vmesto nego: ?@825B
russkii pofiksilsia tolko v brauserah, v winde vse normalno
Добавлено через 4 минуты
причем русский не работает только из под internet explorer 7
в avant browser, Opera и FireFox все в порядке...
Последний раз редактировалось stmin; 27.11.2009 в 04:59. Причина: Добавлено
Пофиксите в HijackThis:
Опишите подробнее в чём заключается проблемма:Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
- пропал русский язык интерфейса в браузере?
- не вводится русскоязычные символы?
- невозможно сменить раскладку клавиатуры?
Попробуйте деинсталировать и установить заново Punto Switcher.
Установите SP3 и все последующие обновления (заплатки).
Установите Internet Explorer 8.
Последний раз редактировалось Ingener; 27.11.2009 в 05:29.
GHETTO/STREET WORKOUT
Punto Switcher переставил - не помогло, скорее всего дело в обновлениях, с этим разберемся как нибудь...
Все остальное работает, вопрос решен.
Огромное Вам СПАСИБО!!! Вы сэкономили мне массу времени, решив данную проблему быстро и качественно.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\chknt32.exe - Trojan-Spy.Win32.BZub.hqc ( DrWEB: Trojan.Rebus.2, BitDefender: Trojan.Generic.2828016 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) stmin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
