-
Порно баннер СМС
Добрый вечер, у меня возникла проблема, мой братишка вчера на своём компьютере залез через IE и скачал обновления для Flash Player после чего на весь экран вылез порно баннер требующий выслать СМС. Он не передвигается и не удаляется.
Просканировал ESS 4.0.468.0 он ничего не обнаружил. Просканировал Авирой фри:
D:\Program Files\Flash Player Pro\
Flash Player Pro.rus
[DETECTION] Contains recognition pattern of the DR/Delphi.Gen dropper
[NOTE] The file was moved to '4baaeac6.qua'!
Но после перезагрузки проблема осталась.
Тогда просканировал AVZ она что то обнаружила но не то что надо. Проблема осталась.
Просканировал Malware Bytes:
C:\System Volume Information\_restore{8C40B7F7-3B8A-480C-B48E-2D337E793E82}\RP11\A0005204.exe (Virus.Expiro) -> Quarantined and deleted successfully.
D:\Documents and Settings\user\Рабочий стол\Rover\bakap\myppc.ru-1222394318_phonealarm_-208\phoneAlarm 2.08Build306\phoneAlarm.Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
Но после перезагрузки проблема осталась.
Тогда с новыми обновлениями Авиры опять просканировал, результаты:
--> Setup.exe
[DETECTION] Is the TR/Agent.UU.4 Trojan
[NOTE] A backup was created as '4b7b2b41.qua' ( QUARANTINE )
[NOTE] The file was deleted!
A0063990.exe
[DETECTION] Contains recognition pattern of the SPR/Tool.248157 program
[NOTE] A backup was created as '4b7b2b5c.qua' ( QUARANTINE )
[NOTE] The file was deleted!
F:\System Volume Information\_restore{8C40B7F7-3B8A-480C-B48E-2D337E793E82}\RP3\
A0000196.dll
A0000197.ico
A0000198.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] A backup was created as '4b7b2c03.qua' ( QUARANTINE )
[NOTE] The file was deleted!
И ещё что то, в процессе сканирования ЕСС удалял много файлов Hack Tool которые почему то в сканировании по требованию он не видел.
Тогда я сделал всё по правилам и высылаю вам логи AVZ и Hitjack This .
PS: Пишу из безопасного режима с поддержкой сетевых драйверов, в обычном режиме нет доступа на ваш сайт.
Последний раз редактировалось DISEPEAR; 04.02.2010 в 20:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток.
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\DOCUME~1\8D8E~1\LOCALS~1\Temp\nddqq.exe','');
DeleteService('esihdrv');
QuarantineFile('D:\DOCUME~1\8D8E~1\LOCALS~1\Temp\esihdrv.sys','');
DeleteFile('D:\DOCUME~1\8D8E~1\LOCALS~1\Temp\esihdrv.sys');
DeleteFile('D:\DOCUME~1\8D8E~1\LOCALS~1\Temp\nddqq.exe');
DeleteFile('C:\Windows\Tasks\WindowsCheck.job');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
Сделайте новый лог virusinfo_syscheck.zip
-
-
Всё сделал, карантин отправил. Высылаю лог syscheck.
Последний раз редактировалось DISEPEAR; 04.02.2010 в 20:30.
-
Еще разок
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\DOCUME~1\8D8E~1\LOCALS~1\Temp\nddqq.exe');
BC_DeleteFile('D:\DOCUME~1\8D8E~1\LOCALS~1\Temp\nddqq.exe');
DeleteFile('C:\Windows\Tasks\WindowsCheck.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Сделайте новый лог virusinfo_syscheck.zip
-
-
Скрипт указанный вами выполнил. Высылаю логи syscheck.
Последний раз редактировалось DISEPEAR; 04.02.2010 в 20:30.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 0
- В ходе лечения вредоносные программы в карантинах не обнаружены
-