Чёрный порнобанер, пришлите M20920007 на 3649
После загрузки появляется черный баннер с тремя порнокартинками(присутствуют гомосеки) с текстом "Рекламная панель устанавливается только при посещении нашего сайта nahalka.com (или прочее)", "Пришлите смс с текстом M20920007 на номер 3649".
Программы не запускаются. Проводник работает.
Удалось запустить Hjack. AVZ удалось запустить, переименовав его в rundll32.exe и поместив в system32, как это сделал человек в соседней теме.
Последний раз редактировалось Atl; 28.12.2010 в 18:53.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в Hijackthis:
Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,userinit.exe,C:\WINDOWS\system32\sdra64.exe, O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O20 - AppInit_DLLs: C:\WINDOWS\system32\pHxyO.dll
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('overlapp32.dll',''); QuarantineFile('C:\WINDOWS\system32\overlapp32.dll',''); QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('C:\WINDOWS\System32\rs32net.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\aspi32.sys',''); QuarantineFile('C:\WINDOWS\system32\pHxyO.dll',''); QuarantineFile('c:\windows\espsrv.exe',''); QuarantineFile('c:\program files\dcpflics\dcpflics.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ati0agxx.sys',''); DeleteService('ati8qwxx'); DeleteService('ati8pvxx'); DeleteService('ati8jpxx'); DeleteService('ati8etxx'); DeleteService('ati7raxx'); DeleteService('ati7oexx'); DeleteService('ati7ndxx'); DeleteService('ati7ifxx'); DeleteService('ati7hpxx'); DeleteService('ati7flxx'); DeleteService('ati7eqxx'); DeleteService('ati7dsxx'); DeleteService('ati7djxx'); DeleteService('ati7baxx'); DeleteService('ati6xexx'); DeleteService('ati6hgxx'); DeleteService('ati6fuxx'); DeleteService('ati5yoxx'); DeleteService('ati5xnxx'); DeleteService('ati5ntxx'); DeleteService('ati5ldxx'); DeleteService('ati5jyxx'); DeleteService('ati5ihxx'); DeleteService('ati5ifxx'); DeleteService('ati5evxx'); DeleteService('ati5dlxx'); DeleteService('ati4yxxx'); DeleteService('ati4xgxx'); DeleteService('ati4onxx'); DeleteService('ati4mjxx'); DeleteService('ati4kjxx'); DeleteService('ati4ixxx'); DeleteService('ati4hexx'); DeleteService('ati4cixx'); DeleteService('ati4bqxx'); DeleteService('ati3vlxx'); DeleteService('ati3ukxx'); DeleteService('ati3texx'); DeleteService('ati3syxx'); DeleteService('ati3ndxx'); DeleteService('ati3khxx'); DeleteService('ati3jyxx'); DeleteService('ati3cbxx'); DeleteService('ati2xwxx'); DeleteService('ati2vcxx'); DeleteService('ati2utxx'); DeleteService('ati2ukxx'); DeleteService('ati2uaxx'); DeleteService('ati2qnxx'); DeleteService('ati2pxxx'); DeleteService('ati2poxx'); DeleteService('ati2msxx'); DeleteService('ati2jixx'); DeleteService('ati2hpxx'); DeleteService('ati2flxx'); DeleteService('ati2dlxx'); DeleteService('ati1vcxx'); DeleteService('ati1qwxx'); DeleteService('ati1lixx'); DeleteService('ati1kqxx'); DeleteService('ati1jixx'); DeleteService('ati1ifxx'); DeleteService('ati1apxx'); DeleteService('ati0rcxx'); DeleteService('ati0jpxx'); DeleteService('ati0cbxx'); DeleteService('ati0agxx'); DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}'); DeleteFile('C:\WINDOWS\system32\pHxyO.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0agxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0cbxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0jpxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati0rcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1apxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1ifxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1jixx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1kqxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1lixx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1qwxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1vcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati1yfxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2dlxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2flxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2hpxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2jixx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2msxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2poxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2pxxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2qnxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2uaxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2ukxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2utxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2vcxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2xwxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3cbxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3jyxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3khxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3ndxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3syxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3texx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3ukxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati3vlxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4bqxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4cixx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4hexx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4ixxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4kjxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4mjxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4onxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4xgxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati4yxxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5dlxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5evxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5ifxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5ihxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5jyxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5ldxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5ntxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5xnxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati5yoxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6fuxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6hgxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati6xexx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7baxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7djxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7dsxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7eqxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7flxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7hpxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7ifxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7ndxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7oexx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati7raxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8etxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8jpxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8pvxx.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\ati8qwxx.sys'); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll'); DeleteFile('C:\WINDOWS\System32\rs32net.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rs32net'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(13); ExecuteRepair(17); RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите темп папки.
Сделайте новые логи по правилам + лог gmer
Гомосеки отступили, банер пропал, все работает.
Последний раз редактировалось Atl; 28.12.2010 в 18:53.
Еще разок...
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится!!!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('overlapp32.dll',''); QuarantineFile('C:\WINDOWS\system32\overlapp32.dll',''); QuarantineFile('C:\WINDOWS\system32\likjy.dll',''); QuarantineFile('C:\WINDOWS\system32\infow32.dll',''); QuarantineFile('infow32.dll',''); QuarantineFile('C:\WINDOWS\system32\hguczqeb.dll',''); DeleteFile('C:\WINDOWS\system32\likjy.dll'); DeleteFile('C:\WINDOWS\system32\hguczqeb.dll'); DeleteFile('overlapp32.dll'); DeleteFile('C:\WINDOWS\system32\overlapp32.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gkj1j0wd.exe (gmer)
И запустите cleanup.bat.Код:gkj1j0wd.exe -del service bzhhxmm gkj1j0wd.exe -del service mpttycld gkj1j0wd.exe -del service unshrb gkj1j0wd.exe -del service vijdv gkj1j0wd.exe -del file "C:\WINDOWS\system32\likjy.dll" gkj1j0wd.exe -del file "C:\WINDOWS\system32\hguczqeb.dll" gkj1j0wd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bzhhxmm" gkj1j0wd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mpttycld" gkj1j0wd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\unshrb" gkj1j0wd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vijdv" gkj1j0wd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bzhhxmm" gkj1j0wd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mpttycld" gkj1j0wd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\unshrb" gkj1j0wd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vijdv" gkj1j0wd.exe -reboot
Компьютер перезагрузится!
Сделайте новые логи по правилам + лог gmer.
Последний раз редактировалось DefesT; 27.11.2009 в 20:38.
Все выполнил.
При запуске батника не были обнаружены likjy.dll и hguczqeb.dll, а также не были найдены 3 первые записи в реестре из указанных.
Последний раз редактировалось Atl; 28.12.2010 в 18:54.
C:\WINDOWS\system32\infow32.dll - Trojan-Spy.Win32.Amber.py (свеженький)
ну и на последок...убьем гада
Закройте все программы, выполните скрипт в AVZ:После перезагрузки сделайте новый лог virusinfo_syscheck.zip для контроля.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{E7C7AD3E-E0B2-4994-B338-F89D02AA316D}'); DeleteFile('infow32.dll'); DeleteFile('C:\WINDOWS\system32\infow32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Обновите Internet Explorer до 8 версии.MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Выполнил.
Да я оперу пользую. Но обновил.Сообщение от DefesT
Последний раз редактировалось Atl; 28.12.2010 в 18:54.
Чисто.
Спасибо
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 43
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\infow32.dll - Trojan-Spy.Win32.Amber.py ( BitDefender: Trojan.Generic.1623277 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Atl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
