Показано с 1 по 19 из 19.

Порно баннер (заявка № 62078)

  1. #1
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    8
    Вес репутации
    53

    Thumbs up Порно баннер

    Здравствуйте, был черный порно баннер на рабочем столе с отправкой смс для его устранения,
    я его снес но что-то осталось, потомучто AVZ(pp.exe) и HijackThis(game.exe) запускаються только с переименованием.
    Пожалуйста помогите убить заразу
    Последний раз редактировалось Vova89; 02.12.2009 в 02:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\drivers\mssrvc.sys','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
     DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\mssrvc.sys');
     DeleteFileMask('C:\Program Files\Common Files\Target Marketing Agency','*.*',true);
     DeleteDirectory('C:\Program Files\Common Files\Target Marketing Agency');
     DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     BC_ImportDeletedList;
     ExecuteSysClean;
     ExecuteRepair(9);
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы.

    Сделайте новые логи

  4. #3
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    8
    Вес репутации
    53
    Воть

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
    O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra button: Crazy Vegas Poker - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\crazyvegasMPP\MPPoker.exe (file missing) (HKCU)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\svchost.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('systemntmi');
     BC_DeleteSvc('securentm');
     BC_DeleteSvc('port135sik');
     BC_DeleteSvc('nicsk32');
     BC_DeleteSvc('netsik');
     BC_DeleteSvc('ksi32sk');
     BC_DeleteSvc('i386si');
     BC_DeleteSvc('fips32cup');
     BC_DeleteSvc('amd64si');
     BC_DeleteSvc('acpi32');
     BC_DeleteSvc('ws2_32sik');
     BC_DeleteSvc('PowerManager');
    BC_Activate;
    ExecuteRepair(6);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните скрипт из этой темы:
    http://virusinfo.info/showthread.php?t=43700.

    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    8
    Вес репутации
    53
    .
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\activedsl.exe','');
     DeleteFile('C:\WINDOWS\svchost.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    8
    Вес репутации
    53
    .

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пролечитесь так http://virusinfo.info/showthread.php?t=15927
    Вариант с LiveCD предпочтительнее
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    8
    Вес репутации
    53
    пролечился LiveCD c svchost.exe проблем нет спс))
    вопрос, в AVZ пишится...

    KiST = 804E26A8 (284)
    Функция NtCreateKey (29) перехвачена (8056E9A9->F770E0E0), перехватчик spge.sys
    Функция NtEnumerateKey (47) перехвачена (8056F0B0->F772CCA2), перехватчик spge.sys
    Функция NtEnumerateValueKey (49) перехвачена (8057EBEF->F772D030), перехватчик spge.sys
    Функция NtOpenKey (77) перехвачена (80567EFB->F770E0C0), перехватчик spge.sys
    Функция NtQueryKey (A0) перехвачена (8056EDB9->F772D10, перехватчик spge.sys
    Функция NtQueryValueKey (B1) перехвачена (8056B303->F772CF8, перехватчик spge.sys
    Функция NtSetValueKey (F7) перехвачена (8057516D->F772D19A), перехватчик spge.sys
    Проверено функций: 284, перехвачено: 7, восстановлено: 0

    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867D91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867D91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867D91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 867D91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867D91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867D91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867D91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867D91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867D91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867D91F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 867D91F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 862A2368 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 862A2368 -> перехватчик не определен

    это нормально?

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    С перехватами все в порядке

    Вопрос: у Вас DrWeb установлен?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    spge.sys - драйвер виртуального диска от Даемона.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    8
    Вес репутации
    53
    сейчас нету Работующего антивиря, есть DrWeb AV-Desk установленный но он перестал запускаться гдето месяца 3 назат, и пока порно баннер не появился ни разу ни какого антивируса не запускал(да и они комп нагружают, умя он слабенький), сейчас пользуюсь Dr.Web CureIt.... еще раз большое спасиб вам за помощь

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Насчёт AV-Desk надо провайдера спросить. Может, подписка у вас кончилась?

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Поищите вот этот файл C:\WINDOWS\system32\activedsl.exe (возможно скрытый)
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    8
    Вес репутации
    53
    На врятли, думаю Win32.HLLP.Jeefo.36352 убил .exe у мя еще мног программ не запускалось... я так понял этот злой WINDOWS\svchost.exe и сеял этого Дракона Jeefo сейчас пролечился LIveCD и Dr.Web CureIt, программы всеравно не запускаються, только с переустановкой, ну главное что Дракон убит знач все хорошо)

    Добавлено через 11 минут

    C:\WINDOWS\system32\activedsl.exe
    такого файла нету, есть похожие

    C:\WINDOWS\system32\activeds.dll
    C:\WINDOWS\system32\activeds.tlb

    и

    C:\WINDOWS\system32\dllcache\activeds.dll
    C:\WINDOWS\system32\dllcache\activeds.tlb
    Последний раз редактировалось Vova89; 03.12.2009 в 23:53. Причина: Добавлено

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    DeleteService('WebClientSPIDERNT');
     DeleteFile('C:\WINDOWS\system32\activedsl.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    02.12.2009
    Сообщений
    8
    Вес репутации
    53
    /

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Порядок
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\svchost.exe - Virus.Win32.Hidrag.a ( DrWEB: Win32.HLLP.Jeefo.36352, BitDefender: Win32.Jeefo.B, NOD32: Win32/Jeefo.A virus, AVAST4: Win32:Jeefo )
      2. c:\windows\system32\drivers\mssrvc.sys - Trojan.Win32.Agent.ddeu ( BitDefender: Trojan.Generic.2854654, AVAST4: Win32:Crypt-AUN [Trj] )


  • Уважаемый(ая) Vova89, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Порно баннер
      От telenovellas в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.02.2010, 16:39
    2. порно баннер
      От ТЮрий в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 12.01.2010, 22:19
    3. Порно баннер
      От plat22 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 02.01.2010, 04:29
    4. Порно-баннер
      От morfie в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 30.12.2009, 01:10
    5. порно баннер в IE
      От slciofole в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.07.2009, 13:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00407 seconds with 20 queries