Снова банер с звонилкой на 3649

**Влад59** · 03.12.2009, 10:35

Добрый день!
Прошу срочно помочь!!
Крайне неудобный случай, но пока сам справиться не смог.

Порнобанер с номером звонилки 3649, откуда взялся не пойму.
Видимо надо блокировать комп при остсутствии меня.
Делал LiveDrBeb, ничего не нашел.
При загрузке в любом режиме, происходят ошибки запуска McAfee и части других прогрпмм. При вызове ТКомандира, служб и тд появляется банер. Он блокирует доступ к Диспетчеру задач.
У меня McAfee, снести его не удается, идет сообщение об отсутствии Админполномочий. Файервол Isa отключить тоже не могу, причина таже.
От интернета комп отключен снятием сетевого шнурка.

В безопасном режиме все тоже самое.
Снял лого только HijackThis, под именем game.exe, и система сразу перезагрузилась.

Пока всё, жду помощи!!!
AVZ даже переименованный запустить не удалось.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 03.12.2009, 10:40

Переименуйте файл C:\WINDOWS\system32\vuaCg.dll
Затем пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe

Перезагрузите ПК
Удалите McAfee, сделайте логи

**PavelA** · 03.12.2009, 11:44

можно просто профиксить:

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\vuaCg.dll

**Влад59** · 03.12.2009, 13:48

Спасибо за оперативный ответ!!!
Переименовал, пофиксил,
Банер исчез, но доступа к Диспетчеру задач пока нет.
С трудом, но снес McAfee (остался только агент для обновления, с ним не справился). Снес сетевой экран.
Сделал два лога обеими программами. Подключил сеть. Перезагрузился.
Сделал последний лог.
Доступа к сетевым дискам пока нет, доступ к Инету пока не проверял.
Логи отсылаю.
Жду дальнейших рекомендаций

**PavelA** · 03.12.2009, 14:00

Макаффи живой, кстати.
Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
 QuarantineFile('C:\smss.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ibpcimpm.sys','');
 DeleteFile('C:\smss.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','act0');
 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
 DeleteFile('G:\autorun.inf');
QuarantineFile('C:\WINDOWS\system32\vuaCg.dll','');
DeleteFile('C:\WINDOWS\system32\vuaCg.dll');
QuarantineFile('C:\Program Files\Internet Explorer\svcnost.exe','');

DeleteFile('C:\Program Files\Internet Explorer\svcnost.exe');
BC_ImportAll;
ExecuteRepair(17);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи.
Прислать карантин по Правилам.

**Влад59** · 03.12.2009, 16:29

ВЫПОЛНИЛ СКРИПТ. Прошел ОК
Перезагрузился комп.
Снял логи. Подготовил Карантин по Правилам.
Диски сетевые вижу, но доступа нет.
Инет есть.

Задержался, т.к. пропал канал на Москву. Сейчас восстановился.
Логи вложил.

**Шапельский Александр** · 03.12.2009, 17:04

Пофиксить:

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\vuaCg.dll

Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\vuaCg.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится
Повторите действия, описанные в п. 2 Диагностики и новые логи прикрепите к новому сообщению
Сделайте лог Hijack

**Влад59** · 03.12.2009, 17:27

Выполнил все указания.
Комп перезагрузился, но в конце завис, пришлось кнопкой воспользоваться.
Запустился. Снял логи по п.2 Диагностики и лог Hijack.

При загрузке говорит, что установить сетевые подключения не смог.

Логи вложил

Жду рекомендаций

**Влад59** · 04.12.2009, 10:11

Доброе утро!

Прошу извинить за вопрос.
Есть ещё рекомендации по моему случаю,
или уже отбой?

**PavelA** · 04.12.2009, 10:16

выпоолнить:

Код:

begin
ExecuteRepair(13);
end.

после этого попробовать переустановить сетевую карту.

**Влад59** · 04.12.2009, 13:51

Спасибо, сейчас попробую

Добавлено через 3 часа 30 минут

Все выполнил, прошло успешно.
Переустановил карту - все проблемы решены.

Спасибо за помощь!!!!

Будете в Калининграде киньте мыло - ПИВО за МНОЙ!!!!

С уважением,
Влад59

**PavelA** · 04.12.2009, 14:44

Будем-будем, у нас на работе командировки по всей России. Да, и был я уже у Вас.
Красивый город, да и пиво хорошее.

**CyberHelper** · 05.12.2009, 14:44

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\internet explorer\svcnost.exe - Trojan-Downloader.Win32.Agent.cvmb ( DrWEB: Trojan.DownLoad1.11694, NOD32: Win32/Delf.OVP trojan )
2. c:\program files\microsoft common\svchost.exe - Trojan.Win32.Vilsel.odw ( DrWEB: Win32.HLLW.Autoruner.6815, BitDefender: Gen:Trojan.Heur.GM.00488160A0, NOD32: Win32/AutoRun.FakeAlert.AF worm, AVAST4: Win32:AutoRun-AZS [Wrm] )
3. g:\autorun.inf - Trojan.Win32.AutoRun.oc ( BitDefender: Trojan.AutorunINF.Gen )

Снова банер с звонилкой на 3649 (заявка № 62232)

Опции темы

Снова банер с звонилкой на 3649

Итог лечения

Похожие темы

Вирус msdrv32.exe. После удаления загружается снова и снова !

Банер требует смс на номер 3649

Черный порно банер с просьбой СМС на 3649

порно-банер №3649 /BackDoor.tdss.565/ atapi.sys

3649

Ваши права в разделе