Блокировка системы порнобаннером

**GsT** · 18.03.2010, 05:11

Блокировка системы порнобаннером.
Блокировка полная, предложение прислать смс на номера 5370,5373, 7250 с текстом 154650.
Пробовала всякие деблокираторы, не помогает, это что-то из новенького, прилетела 16-го марта.
Еще раз уточняю, что блокируется все как в основнм, так и в безопасном режимах.
Удалось зайти в безопасном с уч.записью Администратора, чистый рабочий стол, но по CTRL+ALT+DEL загрузилось приложение Prowise Manager.
Здесь можно запустить какие-либо приложения.
Дважды отработал Drweb Curelt (Первый раз нашел вирусы, вчера вечером со свежескаченной утилитой - нет), Запустился и отработал AVP Tools (Virus Removal Tool 9.00.722 - 16 марта).
AVZ В безопасном запускается, скрипты отрабатывают, но протоколы не сохраняет, поэтому не смогу выслать).
Утилита HiJackThis не стартует.
Переустановка Windows не желательно, т.к. машина рабочая и там много чего.
Помогите!!!!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Alex Plutoff** · 18.03.2010, 09:31

- попробуйте в нормальном режиме сделать логи AVZ, воспользовавшись комбинацией клавиш WIN+U

- ну или в безопасном режиме сделайте лог MBAM и лог Gmer

**GsT** · 18.03.2010, 11:07

Продолжаю.
Сегодня с утра баннер висел (последняя чистка Curelt-ом была вчера вечером), потом пыталась несколько раз перезагружаться и вводить коды из предлагаемых программами "деблокираторами".
В результате очередной перезагрузки пропал баннер, но и с ним пропал Рабочий стол.
Что отключило этот баннер - загадка! Вообще,
Добавлю, что на компе стоит DrWeb Interprise Server лицензионный, с него обновляются все рабочие станции предприятия.
Сейчас все рабочие станции и сеть мой компьютер видит, но хочется вернуть рабочий стол.
Восстановление реестра от 09 марта 2010г ситуацию не исправил.
Сейчас отправляю протоколы в соответствии с правилами.
Хочется избежать переустановки ОС.
Один протокол из AVZ еще работает, поэтому пока высылаю имеющиеся.

**GsT** · 18.03.2010, 11:37

Извините, были ошибочно отправлены логи с другого компа. Повторяю.

**GsT** · 18.03.2010, 12:56

Неужели такой безнадежный случай?
Рабочий день заканчивается, разница с Москвой на 4 часа. Ответьте, пжлста, с утра завтра порадуюсь. Спасибо.

**DefesT** · 18.03.2010, 13:25

Пофиксите в Hijackthis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mrcmgr.exe,C:\WINDOWS\system32\pdbcopy.exe,

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\drwuninst.exe','');
 QuarantineFile('C:\WINDOWS\system32\pdbcopy.exe','');
 QuarantineFile('C:\WINDOWS\system32\mrcmgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\protect.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ethyjalq.sys','');
 QuarantineFile('C:\Documents and Settings\Liska\Local Settings\Temporary Internet Files\Content.IE5\NGS43A5S\xxx_video_608503[1][1].avi.exe','');
 DeleteService('Winyw52');
 DeleteService('Winys63');
 DeleteService('Winyl52');
 DeleteService('Winxr72');
 DeleteService('Winwj74');
 DeleteService('Winwf70');
 DeleteService('Winsq26');
 DeleteService('Winpn83');
 DeleteService('Winox41');
 DeleteService('Winmd06');
 DeleteService('Winlr06');
 DeleteService('Winlq81');
 DeleteService('Winkh77');
 DeleteService('Winjo63');
 DeleteService('Winjo28');
 DeleteService('Winje04');
 DeleteService('Winjd04');
 DeleteService('Winhp68');
 DeleteService('Wingh74');
 DeleteService('Wingd26');
 DeleteService('Winfh83');
 DeleteService('Windm06');
 DeleteService('Wincs37');
 DeleteService('Wincc02');
 DeleteService('Winbn04');
 DeleteService('Winaq13');
 DeleteService('ethyjalq');
 DeleteFile('C:\WINDOWS\system32\drivers\ethyjalq.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winaq13.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbn04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincc02.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincs37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windm06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfh83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingd26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingh74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhp68.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjd04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winje04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjo28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjo63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkh77.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlq81.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlr06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmd06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winox41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpn83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsq26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwf70.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwj74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxr72.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyl52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winys63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyw52.sys');
 DeleteFile('C:\Documents and Settings\Liska\Local Settings\Temporary Internet Files\Content.IE5\NGS43A5S\xxx_video_608503[1][1].avi.exe');
 DeleteFile('C:\WINDOWS\system32\mrcmgr.exe');
 DeleteFile('C:\WINDOWS\system32\pdbcopy.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

**GsT** · 19.03.2010, 06:55

Спасибо, Рабочий стол загрузился сразу после того, как пофиксили. Скрипт в AVZ тоже выполнила. Высылаю новые протоколы. Еще раз спасибо.

**GsT** · 19.03.2010, 09:59

Напишите, пжлста, у меня все нормально на компе после последних протоколов? Можно ни о чем не беспокоится и продолжать работать? Если так, то можно закрыть тему. Спасибо.

**PavelA** · 19.03.2010, 10:41

Вот об это надо беспокоиться: Platform: Windows XP SP2 (WinNT 5.01.2600)
Не обновите, заразитесь по новой.

Выполнить для зачистки:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('Winys63');
BC_DeleteSvc('Winwj74');
BC_DeleteSvc('Winsq26');
BC_DeleteSvc('Winpn83');
BC_DeleteSvc('Winlq81');
BC_DeleteSvc('Winkh77');
BC_DeleteSvc('Winjo63');
BC_DeleteSvc('Winjo28');
BC_DeleteSvc('Winjd04');
BC_DeleteSvc('Winhp68');
BC_DeleteSvc('Wingh74');
BC_DeleteSvc('Wingd26');
BC_DeleteSvc('Winfh83');
BC_DeleteSvc('Windm06');
BC_DeleteSvc('Wincs37');
BC_DeleteSvc('Wincc02');
BC_DeleteSvc('protect');
 DeleteFile('C:\WINDOWS\system32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincc02.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wincs37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windm06.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfh83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingd26.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Wingh74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhp68.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjd04.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjo28.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjo63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkh77.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlq81.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winox41.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpn83.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winys63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwj74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsq26.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Логи повторить после перезагрузки.