-
Junior Member
- Вес репутации
- 56
оплата винды по смс
1. После посещения сайта файлообменника на экране появляется прозрачное сообщение о том, что пиратская копия винды, оплатите через смс. Работать нельзя. После...
2. Комп грузится только в режиме отладки.
3. После загрузить рабочий стол удается только через диспечер задач - новая задача - мои документы - появляется стандартный рабочий стол.
4. Доктор веб ничего не находит.
5. Решил в режиме отладки выйти в инет - и снова появление самопроизвольного сообщения о загрузки програмки сайтаксесс, после чего в верхней части фаэрфокса появляется порнорекламка, которая также предлагает убрать эту рекламку по смс. Этупрограмку в авз я удалил из менеджера автозапусков.А также удалил через тотал командер папку в програмфайлсе диск с - одноименную папку SiteAcsess
Помогите пожалуйста, посылаю логи.
Последний раз редактировалось vek; 10.12.2009 в 14:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shell.windows.com/fileassoc/fileassoc.asp?LangID=0419&Ext=rar
F2 - REG:system.ini: UserInit=C:\Windows\Help\hlp.exe´
O4 - HKLM\..\Run: [Sound] C:\Windows\Help\hlp.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\SiteAccess.dll
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SiteAccess.dll','');
QuarantineFile('C:\Windows\Help\hlp.exe','');
DeleteFile('C:\WINDOWS\system32\SiteAccess.dll');
DeleteFile('C:\Windows\Help\hlp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось vek; 10.12.2009 в 14:34.
-
В логах ничего подозрительного.
Жалобы есть?
-
-
Junior Member
- Вес репутации
- 56
вроде нет
Спасибо.
Но хотел бы у вас поинтересоваться, такой комплекс проблем появляется всегда при посещении в этого сайта, dsvload.net - сайт файлобменник. С чем это может быть связано? Именно там появляется вирус, который запускает "оплату по смс". Нет ли какой-либо программки-заплатки, я не знаю, может еще что?
-
Сообщение от
vek
Нет ли какой-либо программки-заплатки, я не знаю, может еще что?
Заблокируйте этот адрес в установках интернета.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите Acrobat Reader
-
-
Junior Member
- Вес репутации
- 56
уточнение
Спасибо,
хотел бы уточнить, что я пользуюсь только Mozilla Firfox.
И не совсем понятно зачем обновлять Acrobat Reade.
Также я слышал, что такие проблемы возникают и в sp3.
Извините за назойливость.
-
Сообщение от
vek
хотел бы уточнить, что я пользуюсь только Mozilla Firfox.
Вы не пользуетесь, а программы могут пользоваться. Internet Explorer - часть системы.
Сообщение от
vek
И не совсем понятно зачем обновлять Acrobat Reade.
Из-за дыр. Есл не пользуетесь - удалите.
Сообщение от
vek
Также я слышал, что такие проблемы возникают и в sp3.
Какие? Дыры? Да, они есть, надо ещё около сотни заплаток после SP3 поставить.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\help\hlp.exe - Trojan-Ransom.Win32.SMSer.dy
- c:\windows\system32\siteaccess.dll - Trojan-Clicker.Win32.Small.aes ( BitDefender: Gen:Trojan.Heur.Hype.201CE3E3E3 )
-