-
Junior Member
- Вес репутации
- 53
Порнобанер, смс с текстом M20920007 на номер 3649
Здравствуйте!
По середине экрана висит порнобанер с предложением отправить смс с текстом M20920007 на номер 3649.
Получил данный подарок в письме.
Последние темы как раз были созданы по данной проблеме.
Все exe файлы блокируются в том числе и AVZ, переименование не помогает.
Удалось запустить только HJ, лог прилагаю.
Помогите, пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
O4 - HKCU\..\Policies\Explorer\Run: [Java Plug-in] C:\WINDOWS\system32\chknt32.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\cRbor.dll
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
Перезагрузите компьютер.
После этого должна запуститься AVZ - сделайте все логи по правилам.
-
-
Junior Member
- Вес репутации
- 53
-
1) Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\СТАС\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\docume~1\2b62~1\applic~1\ufastd~1\p ropet~1.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\СТАС\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
2) Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DelBHO('{BA5D8DF9-1851-4660-B3AE-89E6E030AC34}');
QuarantineFile('C:\PROGRA~1\NETPRO~1\PAGEPR~1\PAGEPR~1.EXE','');
QuarantineFile('c:\docume~1\2b62~1\applic~1\ufastd~1\propet~1.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
DeleteFile('C:\WINDOWS\system32\chknt32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('c:\docume~1\2b62~1\applic~1\ufastd~1\propet~1.exe');
DeleteFile('C:\PROGRA~1\NETPRO~1\PAGEPR~1\PAGEPR~1.EXE');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(4);
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
4) Сделайте новые логи по правилам.
Последний раз редактировалось Ingener; 27.11.2009 в 04:14.
GHETTO/STREET WORKOUT
-
-
Junior Member
- Вес репутации
- 53
gotovo
russkii jzik pofiksilsia, vot chto vmesto nego: ?@825B
-
Junior Member
- Вес репутации
- 53
russkii pofiksilsia tolko v brauserah, v winde vse normalno
Добавлено через 4 минуты
причем русский не работает только из под internet explorer 7
в avant browser, Opera и FireFox все в порядке...
Последний раз редактировалось stmin; 27.11.2009 в 04:59.
Причина: Добавлено
-
Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
Опишите подробнее в чём заключается проблемма:
- пропал русский язык интерфейса в браузере?
- не вводится русскоязычные символы?
- невозможно сменить раскладку клавиатуры?
Попробуйте деинсталировать и установить заново Punto Switcher.
Установите SP3 и все последующие обновления (заплатки).
Установите Internet Explorer 8.
Последний раз редактировалось Ingener; 27.11.2009 в 05:29.
GHETTO/STREET WORKOUT
-
-
Junior Member
- Вес репутации
- 53
Punto Switcher переставил - не помогло, скорее всего дело в обновлениях, с этим разберемся как нибудь...
Все остальное работает, вопрос решен.
Огромное Вам СПАСИБО!!! Вы сэкономили мне массу времени, решив данную проблему быстро и качественно.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\chknt32.exe - Trojan-Spy.Win32.BZub.hqc ( DrWEB: Trojan.Rebus.2, BitDefender: Trojan.Generic.2828016 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-