-
Junior Member
- Вес репутации
- 59
Порнобаннер - ни чем не определяется.
Появился порнобаннер в верхней части окна эксплорера (красный, с синей полосой внизу, примено 1/6 часть экрана, предложение разблокироваться через SMS).
После изучения проблемы в других форумах и различных попыток (отключение модулей в эксплорере, поиски чужих программ в Application, неродных dll, сравнение с работающей ХР, замена эксплорера и пр.) я понял - мой случай тяжелый.
Обращаюсь за помощью.
AVP и Dr.Web ничего не определили.
Выполнил все по-шагам согласно инструкции. Создал логи.
НО!!! Пытался приложить файлы, но не смог - при вызове окна управления вложениями в верху ничего не видно, мешает этот баннер.
!!! Как их отослать Вам ?
[email protected]
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Можно залить логи на файлообменник а ссылки сюда
The worst foe lies within the self...
-
-
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Kuzz
Можно залить логи на файлообменник а ссылки сюда
Да я честно говоря не знаю, как это делается.
Да и опять часть экрана не видно будет.
Может можно е-ьейлом, файлы то небольшие.
Добавлено через 10 минут
Сообщение от
SDA
Похоже он. Суть та же, только у меня безобразной порнухой разукрашен.
Так как же логи-то отслать? Помогите ...
Последний раз редактировалось shus; 30.07.2009 в 18:03.
Причина: Добавлено
-
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Kuzz
Адрес в личке
Ага, спасибо. Уже послал, правда с задержкой (были небольшие проблемы с инетом).
-
А вот virusinfo_cure.zip - это карантин.
Файл сохранён как 090730_194038_virusinfo_cure_4a71bef67a4dd.zip
Размер файла 3395763
MD5 11eb2e715f477a966d6cddcafd9112f7
Его присылают только по запросу))
Последний раз редактировалось Kuzz; 11.03.2010 в 16:01.
The worst foe lies within the self...
-
-
Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Как некрасиво..
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\AUDIOC~1\menu.dll','');
QuarantineFile('C:\WINDOWS\system32\Macromed\Flash\FlashUtil10a.exe','');
QuarantineFile('C:\Program Files\ScreenShotCreator\scrnstcr.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ticap.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\SLDRV\Slnthal.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\sentinel.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\SLDRV\RecAgent.sys','');
QuarantineFile('C:\Program Files\Java\jre6\bin\jqs.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\SLDRV\slnt7554.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\adfs.SYS','');
QuarantineFile('c:\windows\system32\servises.exe','');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('c:\windows\system32\servises.exe');
DeleteFile('C:\WINDOWS\system32\servises.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\Macromed\Flash\FlashUtil10a.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
Если происхождение этих настроек Вам не известно, тоже фиксить:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.ktk.ru:3128;gopher=proxy.ktk.ru:3128;http=127.0.0.1:2080;https=proxy.ktk.ru:3128
3.Повторить логи
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Обновлять надо:
SP3 + все последующие обновления
IE8 уж доступен
Да и Адобовские продукты - решето. Их тоже надо обновлять
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 59
Все в порядке, большое спасибо.
Карантин отправил.
-
Для информации:
Это скорее всего - Ransompage Trojan, способен работать с различными браузерами, включая Internet Explorer, некоторые версии Firefox и Opera. С последней версией Firefox троян не совместим.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\services.exe - Trojan-Ransom.Win32.Agent.eb ( DrWEB: Trojan.Blackmailer.1287 )
- c:\windows\system32\servises.exe - Trojan.Win32.Tdss.alqb ( DrWEB: Trojan.Spambot.4590 )
-