Показано с 1 по 9 из 9.

Последствия порнобаннера (заявка № 106271)

  1. #1
    Junior Member Репутация
    Регистрация
    19.04.2010
    Сообщений
    30
    Вес репутации
    25

    Последствия порнобаннера

    Добрый день! В компьютер попал вирус после которого при включении компьютера вылетал порно баннер про просмотр гей порно и просьбой отправить на вебмани 200грн. Проверил компьютер с Live CD утилитой CureIt, обнаружил backdoor.butirat., но баннер пропал только после замены userinit.exe Проверьте, не осталось ли каких либо последствий этого вируса.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('{AE7AY1-A4G2-Z78D2-DS4X1S-4W1X3B}');
     QuarantineFile('C:\Irvin\Kershner\Lullabies.exe','');
     DeleteService('msupdate');
     QuarantineFile('c:\windows\system32\vhosts.exe','');
     QuarantineFile('c:\documents and settings\admin\application data\netprotocol.exe','');
     TerminateProcessByName('c:\documents and settings\admin\application data\netprotocol.exe');
     DeleteFile('c:\documents and settings\admin\application data\netprotocol.exe');
     DeleteFile('c:\windows\system32\vhosts.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
     DeleteFile('C:\Irvin\Kershner\Lullabies.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=106271

    4. Пофиксите в HijackThis:

    Код:
    O4 - Startup: PowerReg Scheduler V3.exe
    5. Сделайте повторные логи.

  4. #3
    Junior Member Репутация
    Регистрация
    19.04.2010
    Сообщений
    30
    Вес репутации
    25
    Логи повторил, карантин загрузил)
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    19.04.2010
    Сообщений
    30
    Вес репутации
    25
    Сделал логи MBRAM
    Вложения Вложения

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\documents and settings\Admin\application data\netprotocol.exe', 'MBAM: Backdoor.Bot');
    QuarantineFile('c:\documents and settings\Admin\application data\1.exe', 'MBAM: Spyware.Passwords.XGen');
    QuarantineFile('c:\documents and settings\Admin\application data\netprotdrvss.exe', 'MBAM: Backdoor.Bot');
    QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\12X4FKSK\game[1].exe', 'MBAM: Backdoor.Bot');
    QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\12X4FKSK\netprotocol[1].exe', 'MBAM: Backdoor.Bot');
    QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\52I2IFMW\netprotocol[1].exe', 'MBAM: Backdoor.Bot');
    QuarantineFile('c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\53M4BDG4\netprotocol[1].exe', 'MBAM: Spyware.Passwords.XGen');
    QuarantineFile('c:\RECYCLER\S-1-5-18\Dc3.exe', 'MBAM: Spyware.Passwords.XGen');
    QuarantineFile('c:\WINDOWS\userinit.exe', 'MBAM: Heuristics.Reserved.Word.Exploit');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ все, кроме
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Heuristics.Reserved.Word.Exploit) -> Bad: (C:\WINDOWS\userinit.exe) Good: () -> No action taken.
     
    c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.
    c:\program files\total commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken.
    d:\Games\макс\republic heroes\1911.dll (Adware.Agent) -> No action taken.
    d:\программы\sound forge 6.0\Keygen\keygen.exe (RiskWare.Tool.HCK) -> No action taken.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    19.04.2010
    Сообщений
    30
    Вес репутации
    25
    Файлы удалил, карантин отправил

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Heuristics.Reserved.Word.Exploit) -> Bad: (C:\WINDOWS\userinit.exe) Good: () -> No action taken. - тоже удалите

    Сделайте новый лог МВАМ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,525
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 23
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\admin\\application data\\netprotdrvss.exe - Trojan.Win32.Yakes.aem ( DrWEB: BackDoor.Butirat.22, BitDefender: Trojan.Generic.KD.305501, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:SpyEyes [Trj] )
      2. c:\\documents and settings\\admin\\application data\\netprotocol.exe - Trojan.Win32.Yakes.aem ( DrWEB: BackDoor.Butirat.22, BitDefender: Trojan.Generic.KD.305501, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:SpyEyes [Trj] )
      3. c:\\documents and settings\\admin\\application data\\netprotocol.exe - Backdoor.Win32.Buterat.bnq ( DrWEB: BackDoor.Butirat.21, BitDefender: Trojan.Generic.6359018, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Downloader-IWQ [Trj] )
      4. c:\\documents and settings\\admin\\application data\\1.exe - Trojan-Ransom.Win32.Kargapo.o ( DrWEB: Trojan.Winlock.3866, BitDefender: Gen:Variant.Barys.664, AVAST4: Win32:Malware-gen )
      5. c:\\recycler\\s-1-5-18\\dc3.exe - Trojan-Ransom.Win32.Kargapo.o ( DrWEB: Trojan.Winlock.3866, BitDefender: Gen:Variant.Barys.664, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) nfsu2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Последствия порнобаннера
      От tehnik34 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 03.03.2011, 11:19
    2. Последствия порнобаннера
      От DasTPID в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.07.2010, 08:37
    3. Последствия порнобаннера
      От Laina в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.06.2010, 01:43
    4. Последствия порнобаннера
      От frizzy в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 09.06.2010, 12:29
    5. Последствия порнобаннера
      От tu-104 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.03.2010, 10:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00064 seconds with 22 queries