Показано с 1 по 7 из 7.

порнобаннер (заявка № 66176)

  1. #1
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    35
    Вес репутации
    26

    Exclamation порнобаннер

    вылез на рабочем столе порнобанер розового цвета. Убились все браузеры. Диспетчер задач заблокирован, при попытке просто зайти в папку с AVZ завершался сеанс работы. Загрузился с LiveCD удалил из всех папок "Temp" все файлы, временные файлы интернет. Порно баннер исчез, AVZ запускается, логи сделал.
    Вложения Вложения
    [CENTER]главное делайте что-то хорошее, плохое без вас сделают[/CENTER]

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Системное восстановление!!! Это ВАЖНО!
    - Выполните скрипт AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     AddToLog('Удаление скрытого сервиса '+'mxmslhuc'+' - Результат:'+inttostr(BC_ServiceKill('mxmslhuc')) );
     QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\caqezwl.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mxmslhuc.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\mxmslhuc.sys');
     QuarantineFile('C:\WINDOWS\TEMP\hqdpr.dll','');
     DeleteFile('C:\WINDOWS\TEMP\hqdpr.dll');
     DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\siszyd32.exe');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\caqezwl.exe');
     DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job');
     DeleteFile('WindowsCheck.job');
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
     SaveLog(GetAVZDirectory+'avz_log.txt');
     SetAVZPMStatus(true);
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ к новому сообщению в этой ветке.

  4. #3
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    35
    Вес репутации
    26
    скрипт выполнить не получается потому как все вернулось. При запуске AVZ комп вырубается. Диспетчер заблокирован.
    [CENTER]главное делайте что-то хорошее, плохое без вас сделают[/CENTER]

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    783
    Попробуйте загрузиться и провести сканирование с помощью LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска нужно скачать на здоровом компьютере, записать на чистый диск, а затем загрузиться с него на заражённой машине.
    Однозначно удалите следующие файлы:
    Код:
    siszyd32.exe (везде на диске С)
    C:\DOCUME~1\9335~1\LOCALS~1\Temp\caqezwl.exe
    C:\WINDOWS\TEMP\ (удалить всё в этой папке)
    Мы были бы благодарны Вам, если бы эти файлы Вы запаковали в zip-архив с паролем virus и прислали нам в Карантин. Но если по каким-то причинам Вам это сделать сложно - то просто удаляйте.
    После этого - загрузите систему как обычно и выполните действия, которые я описал в предыдущем сообщении.

  6. #5
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    35
    Вес репутации
    26
    Скрипт выполнил кое как, логи выкладываю. Файлы поудалял, сохранить их не получилось. Карантин после выполнения скрипта пустой.
    Вложения Вложения
    [CENTER]главное делайте что-то хорошее, плохое без вас сделают[/CENTER]

  7. #6
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    35
    Вес репутации
    26
    сейчас CureIt нашел файл PKey.exe в C:\WINDOWS\system32 статус Tool.ProductKey.2
    [CENTER]главное делайте что-то хорошее, плохое без вас сделают[/CENTER]

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
    ExecuteWizard('TSW', 2, 2, true);
     RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs', '');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.

  • Уважаемый(ая) Salt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Порнобаннер
      От jeam в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 02.07.2010, 13:41
    2. Порнобаннер
      От Е.Ш. в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.07.2010, 14:04
    3. Порнобаннер
      От Серега5555 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 09.01.2010, 18:59
    4. порнобаннер
      От нади в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 08.01.2010, 18:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00540 seconds with 21 queries