-
Junior Member
- Вес репутации
- 52
Последствия после порно баннера и Antivirus Online
Доброго времени суток!
На рабочем столе появился розовый порно-баннер."Спасибо за то,что установили наш баннер сроком на 30 дней.Если желаете избавиться от него раньше отправьте смс сообщение на номер ..."В безопасном режиме проверили Dr.Web.Баннер ушел.Через два дня история повторилась.Повторили так же.Вечером в этот же день, после перезагрузки компьютера появляется черный экран на котором опять же просят отправить смс сообщение на номер 8353 с текстом 748017.Заблокирован виндоус.
Код(2047692) нашли на сайте Касперского разблокировали компьютер.На этот момент стоял NOD32.Удалили NOD32,поставили Kaspersky Internet Security 2010.Проверили в безопасном режиме Dr.Web,AVZ,Virus Removal Tool.Удалили историю и кэши.
На данный момент "диспетчер задач отключен администратором",локальные диски D и E поменяли свои значки на папки,съемный носитель открывается только через проводник ,иначе появляется рамка "приложение,выполняющие эту операцию,указанному файлу не сопоставлено.Произведите сопоставление с помощью панели управления "Свойства папки".
Очень надеемся на вашу помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\Program Files\BRS\UserLayout.exe','');
QuarantineFile('C:\WINDOWS\system32\mssfc.dll','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DFBD25.tmp','');
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\~DFBD25.tmp');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); {восстановление значений таймаутов}
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6); {удаление всех политик ограничений текущего пользователя}
ExecuteRepair(11); {разблокировка диспетчера задач}
ExecuteRepair(17); {разблокировка редактора реестра}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.
-
-
Junior Member
- Вес репутации
- 52
-
Это хорошо. А карантин где?
-
-
Junior Member
- Вес репутации
- 52
Извиняюсь,карантин отправлен.
-
Хорошо. Теперь вот такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
QuarantineFile('C:\WINDOWS\\System32\Drivers\azwhrnrq.SYS','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
И опять пришлите карантин после перезагрузки.
-
-
Junior Member
- Вес репутации
- 52
-
-
-
Junior Member
- Вес репутации
- 52
-
-
-
Junior Member
- Вес репутации
- 52
-
Продолжим утром. Заодно и вирлаб ответит по карантину.
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
Все еще продолжаем ждать...
-
Я понимаю Ваше негодование, но ответа по-прежнему нет.
-
-
Junior Member
- Вес репутации
- 52
-
От имени всего проекта ВирусИнфо я приношу перед Вами извинения за столь долгую обработку Вашей темы. Мы предпримем усилия, чтобы наша служба работала максимально оперативно в будущем.
Выполните скрипт (со вставленной флешкой):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ckldrv.sys');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('NetworkX');
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится. Сделайте повторный лог согласно только пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
Сообщите, имеются ли какие-либо проблемы?
-
-
Junior Member
- Вес репутации
- 52
Извинения приняты
Новые логи
-
Ничего вредоносного в логах не обнаружено. Что с проблемами?
-
-
Junior Member
- Вес репутации
- 52
Диспетчер задач работает,значки на папках вернулись на свои места,при открытии флешки не ругается.Кажется все нормально