-
Junior Member
- Вес репутации
- 59
Розовый порно баннер требует смс
При загрузке появляется баннер требующий отправить смс на номер 8353.При этом невозможно открыть диспетчер задач и воспользоваться - сделать скрипты AVZ - окна оказываются за ним. Прошу о помощи/
Добавлено через 3 минуты
Да еще в папке Temp в документах нашел лишний файл 3001536рз15360.exe и через безопасный режим удалил его. баннер так и остался.
Последний раз редактировалось PEPPER; 27.02.2010 в 12:02.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В безопасном режиме пробовали. с Hijackthis такая же проблема?
-
-
Скачайте файл http://narod.ru/disk/17651624000/a_v_z_poly.exe.html (в этой версии AVZ не обновляются базы). Распакуйте приложенный файл в ту же папку. И запустите run.bat.
-
-
Junior Member
- Вес репутации
- 59
Да, спасибо. С этой программой все получилось сделать. Прилагаю логи.
Последний раз редактировалось PEPPER; 06.06.2010 в 19:18.
-
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe bvsn.dyo aurosxg
F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,D:\WINDOWS\system32\sdra64.exe,
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\program files\plugin.exe');
QuarantineFile('D:\WINDOWS\system32\tapi.nfo','');
QuarantineFile('D:\WINDOWS\system32\pqrs.tmo','');
QuarantineFile('D:\WINDOWS\Temp\wpv441256085323.exe','');
QuarantineFile('D:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('D:\WINDOWS\system32\bvsn.dyo','');
QuarantineFile('d:\program files\plugin.exe','');
DeleteFile('d:\program files\plugin.exe');
DeleteFile('D:\WINDOWS\system32\bvsn.dyo');
DeleteFile('D:\WINDOWS\system32\sdra64.exe');
DeleteFile('D:\WINDOWS\Temp\wpv441256085323.exe');
DeleteFile('D:\WINDOWS\system32\pqrs.tmo');
DeleteFile('D:\WINDOWS\system32\tapi.nfo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Просканируйте ПК ZbotKiller'ом. Сделайте новые логи по правилам стандартным AVZ(virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)
-
-
Junior Member
- Вес репутации
- 59
Спасибо. все убралось. Карантин выслал. новые логи прилагаю.
Последний раз редактировалось PEPPER; 06.06.2010 в 19:18.
-
выполните скрипт в AVZ:
Код:
begin
DeleteFile('D:\Documents and Settings\PEPPER.PEPPER14022005\update.exe');
end.
Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!). Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- d:\program files\plugin.exe - Trojan-Ransom.Win32.Blocker.Silent.8353 ( DrWEB: Trojan.Winlock.1109 )
- d:\windows\system32\bvsn.dyo - Trojan-Downloader.Win32.Agent.dgbn ( DrWEB: Trojan.Oficla.26 )
- d:\windows\system32\pqrs.tmo - Backdoor.Win32.Bredavi.ara ( DrWEB: Trojan.Packed.14995, BitDefender: Trojan.Generic.2628704, NOD32: Win32/Oficla.AP trojan, AVAST4: Win32:Oficla-D [Trj] )
- d:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.agck
- d:\windows\system32\tapi.nfo - Trojan-Downloader.Win32.Small.ameq ( DrWEB: Trojan.DownLoad.45245, BitDefender: Trojan.Generic.2326328, NOD32: Win32/Oficla.F trojan, AVAST4: Win32:Oficla-D [Trj] )
- d:\windows\temp\wpv441256085323.exe - Trojan-Dropper.Win32.Pincher.wi ( DrWEB: Trojan.MulDrop.30762, BitDefender: Trojan.Agent.ANTJ, AVAST4: Win32:Trojan-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-