-
Junior Member
- Вес репутации
- 53
Чёрный порнобанер, пришлите M20920007 на 3649
После загрузки появляется черный баннер с тремя порнокартинками(присутствуют гомосеки) с текстом "Рекламная панель устанавливается только при посещении нашего сайта nahalka.com (или прочее)", "Пришлите смс с текстом M20920007 на номер 3649".
Программы не запускаются. Проводник работает.
Удалось запустить Hjack. AVZ удалось запустить, переименовав его в rundll32.exe и поместив в system32, как это сделал человек в соседней теме.
Последний раз редактировалось Atl; 28.12.2010 в 18:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\pHxyO.dll
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('overlapp32.dll','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\System32\rs32net.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\aspi32.sys','');
QuarantineFile('C:\WINDOWS\system32\pHxyO.dll','');
QuarantineFile('c:\windows\espsrv.exe','');
QuarantineFile('c:\program files\dcpflics\dcpflics.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0agxx.sys','');
DeleteService('ati8qwxx');
DeleteService('ati8pvxx');
DeleteService('ati8jpxx');
DeleteService('ati8etxx');
DeleteService('ati7raxx');
DeleteService('ati7oexx');
DeleteService('ati7ndxx');
DeleteService('ati7ifxx');
DeleteService('ati7hpxx');
DeleteService('ati7flxx');
DeleteService('ati7eqxx');
DeleteService('ati7dsxx');
DeleteService('ati7djxx');
DeleteService('ati7baxx');
DeleteService('ati6xexx');
DeleteService('ati6hgxx');
DeleteService('ati6fuxx');
DeleteService('ati5yoxx');
DeleteService('ati5xnxx');
DeleteService('ati5ntxx');
DeleteService('ati5ldxx');
DeleteService('ati5jyxx');
DeleteService('ati5ihxx');
DeleteService('ati5ifxx');
DeleteService('ati5evxx');
DeleteService('ati5dlxx');
DeleteService('ati4yxxx');
DeleteService('ati4xgxx');
DeleteService('ati4onxx');
DeleteService('ati4mjxx');
DeleteService('ati4kjxx');
DeleteService('ati4ixxx');
DeleteService('ati4hexx');
DeleteService('ati4cixx');
DeleteService('ati4bqxx');
DeleteService('ati3vlxx');
DeleteService('ati3ukxx');
DeleteService('ati3texx');
DeleteService('ati3syxx');
DeleteService('ati3ndxx');
DeleteService('ati3khxx');
DeleteService('ati3jyxx');
DeleteService('ati3cbxx');
DeleteService('ati2xwxx');
DeleteService('ati2vcxx');
DeleteService('ati2utxx');
DeleteService('ati2ukxx');
DeleteService('ati2uaxx');
DeleteService('ati2qnxx');
DeleteService('ati2pxxx');
DeleteService('ati2poxx');
DeleteService('ati2msxx');
DeleteService('ati2jixx');
DeleteService('ati2hpxx');
DeleteService('ati2flxx');
DeleteService('ati2dlxx');
DeleteService('ati1vcxx');
DeleteService('ati1qwxx');
DeleteService('ati1lixx');
DeleteService('ati1kqxx');
DeleteService('ati1jixx');
DeleteService('ati1ifxx');
DeleteService('ati1apxx');
DeleteService('ati0rcxx');
DeleteService('ati0jpxx');
DeleteService('ati0cbxx');
DeleteService('ati0agxx');
DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
DeleteFile('C:\WINDOWS\system32\pHxyO.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0agxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0cbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0jpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0rcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1apxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1ifxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1jixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1lixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1qwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1vcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1yfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2dlxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2hpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2jixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2msxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2poxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2pxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2qnxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2uaxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2ukxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2utxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2vcxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2xwxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3cbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3jyxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3khxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3ndxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3syxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3texx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3ukxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3vlxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4bqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4cixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4hexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4ixxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4kjxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4mjxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4onxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4xgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4yxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5dlxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5evxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5ifxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5ihxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5jyxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5ldxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5ntxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5xnxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5yoxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6fuxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6hgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6xexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7baxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7djxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7dsxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7eqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7flxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7hpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7ifxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7ndxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7oexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7raxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8etxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8jpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8pvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rs32net');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(17);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки.
Сделайте новые логи по правилам + лог gmer
-
-
Junior Member
- Вес репутации
- 53
Гомосеки отступили, банер пропал, все работает.
Последний раз редактировалось Atl; 28.12.2010 в 18:53.
-
Еще разок...
Пофиксите в Hijackthis:
Код:
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('overlapp32.dll','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
QuarantineFile('C:\WINDOWS\system32\likjy.dll','');
QuarantineFile('C:\WINDOWS\system32\infow32.dll','');
QuarantineFile('infow32.dll','');
QuarantineFile('C:\WINDOWS\system32\hguczqeb.dll','');
DeleteFile('C:\WINDOWS\system32\likjy.dll');
DeleteFile('C:\WINDOWS\system32\hguczqeb.dll');
DeleteFile('overlapp32.dll');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gkj1j0wd.exe (gmer)
Код:
gkj1j0wd.exe -del service bzhhxmm
gkj1j0wd.exe -del service mpttycld
gkj1j0wd.exe -del service unshrb
gkj1j0wd.exe -del service vijdv
gkj1j0wd.exe -del file "C:\WINDOWS\system32\likjy.dll"
gkj1j0wd.exe -del file "C:\WINDOWS\system32\hguczqeb.dll"
gkj1j0wd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bzhhxmm"
gkj1j0wd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mpttycld"
gkj1j0wd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\unshrb"
gkj1j0wd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vijdv"
gkj1j0wd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bzhhxmm"
gkj1j0wd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mpttycld"
gkj1j0wd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\unshrb"
gkj1j0wd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vijdv"
gkj1j0wd.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделайте новые логи по правилам + лог gmer.
Последний раз редактировалось DefesT; 27.11.2009 в 20:38.
-
-
Junior Member
- Вес репутации
- 53
Все выполнил.
При запуске батника не были обнаружены likjy.dll и hguczqeb.dll, а также не были найдены 3 первые записи в реестре из указанных.
Последний раз редактировалось Atl; 28.12.2010 в 18:54.
-
C:\WINDOWS\system32\infow32.dll - Trojan-Spy.Win32.Amber.py (свеженький)
ну и на последок...убьем гада
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{E7C7AD3E-E0B2-4994-B338-F89D02AA316D}');
DeleteFile('infow32.dll');
DeleteFile('C:\WINDOWS\system32\infow32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки сделайте новый лог virusinfo_syscheck.zip для контроля.
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Обновите Internet Explorer до 8 версии.
-
-
Junior Member
- Вес репутации
- 53
Выполнил.
Сообщение от
DefesT
Обновите Internet Explorer до 8 версии.
Да я оперу пользую. Но обновил.
Последний раз редактировалось Atl; 28.12.2010 в 18:54.
-
-
-
Junior Member
- Вес репутации
- 53
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 43
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\infow32.dll - Trojan-Spy.Win32.Amber.py ( BitDefender: Trojan.Generic.1623277 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-