Опять порнобанер

**ErNickos** · 23.03.2010, 08:39

В очередной раз поймал порнобаннер, при помощи кода взятого с сайта Доктора Веб баннер пропал. Но вот интернет браузеры ни Opera ни Mozilla Firefox ни Internet Explorer не открываются. Все пишут о какой то ошибке, предлагают отправить информацию о ней в информационный центр и перезагрузить браузер. Когда так делаешь то ошибка выскакивает опять с теми же требованиями.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 23.03.2010, 08:50

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

R3 - URLSearchHook: (no name) - - (no file)
 F2 - REG:system.ini: UserInit=N:WINDOWSsystem32userinit.exe,N:WINDOWSsystem32ff1dfe35.exe,\?g lobalrootsystemrootsystem32J8Bfr1H.exe,
 O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
 O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('N:\Program Files\plugin.exe','');
 QuarantineFile('N:\WINDOWS\system32\ff1dfe35.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\J8Bfr1H.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\J8Bfr1H.exe');
 DeleteFile('N:\WINDOWS\system32\ff1dfe35.exe');
 DeleteFile('N:\Program Files\plugin.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(20);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

**ErNickos** · 23.03.2010, 09:30

вот повторные логи

**polword** · 23.03.2010, 09:38

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('N:\WINDOWS\system32\vksaver.dll','');
 DeleteFile('N:\WINDOWS\system32\vksaver.dll');
 RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip

**ErNickos** · 23.03.2010, 10:10

Сообщение от polword

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('N:\WINDOWS\system32\vksaver.dll','');
 DeleteFile('N:\WINDOWS\system32\vksaver.dll');
 RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip

готово

**DefesT** · 23.03.2010, 10:39

Ничего плохого. Что с проблемой? По возможности выполните процедуру, описанную в первом сообщении. Обновите Adobe Reader и Java для безопасности. Рекомендуется к изучению - http://security-advisory.virusinfo.info

**ErNickos** · 23.03.2010, 10:47

Сообщение от DefesT

Ничего плохого. Что с проблемой? По возможности выполните процедуру, описанную в первом сообщении. Обновите Adobe Reader и Java для безопасности. Рекомендуется к изучению - http://security-advisory.virusinfo.info

Всё проблема исчерпана, всё ОК. Всем спасибо!!!

**CyberHelper** · 24.03.2010, 10:47

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. \\?\globalroot\systemroot\system32\j8bfr1h.exe - Trojan.Win32.Cosmu.qcm ( DrWEB: BackDoor.Tdss.2363 )
2. n:\windows\system32\ff1dfe35.exe - Trojan.Win32.Scar.bwvc ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Rootkit-gen [Rtk] )

Опять порнобанер (заявка № 74291)

Опции темы

Опять порнобанер

повторные логи

повторный лог virusinfo_syscheck.zip

Всем спасибо!!!

Итог лечения

Похожие темы

порнобанер

Порнобанер

Опять про черный порнобанер

опять ЦП загружен на 100%. Опять вирус?

Ваши права в разделе