Порнобанер убрал с помощью надстроек к IE

**Ilia** · 02.05.2010, 14:27

У меня тоже вдруг появился в левом углу небольшой порнобанер где было сказано просит отправить СМС текстом 638467 на номер хххх
NIS 2010 не cмог его уничтожить и я позвонил по моб. телефону 8 800 .... этим жучкам ну конечно всё им высказал и они мне дали код 74792742 но и он не дал результатов тогда они мне велели войти в сервис IE "надстройки" и там отключить MS Media Module и у меня банер исчез! Но у меня к Вам просьба ведь вирус то остался т.к. отключена только надстройка или это не важно?! Можно что-то сделать (у меня OC VISTA HP и NIS 2010)? Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polar_owl** · 02.05.2010, 15:58

Прочтите, выполите

**Ilia** · 03.05.2010, 16:57

Да Вы правы стал проверять утилитой Dr. Web CureIt! и она в "быстром просмотре" обнаружила Trojan.BrowseBan.252 и Trojan.BrowseBan.289, сейчас попробую в соответствии с рекомендациями сделать "полную" проверку РС утилитой Dr. Web CureIt!, а потом выполню дальнейшие Ваши установки! Спасибо.

**PavelA** · 03.05.2010, 17:11

Я же писал: выполнишь Правила, вылечим.

**Ilia** · 04.05.2010, 10:27

Выполнил все правила и высылаю. Спасибо.

**Ilia** · 05.05.2010, 00:25

Я всё отослал подскажите пожалуйста каков результат, изличился или ...? Спасибо.

**polar_owl** · 05.05.2010, 01:32

Сообщение от Ilia

Trojan.BrowseBan.252 и Trojan.BrowseBan.289

Это и был Ваш порнобаннер.

Закройте все программы, выполните в AVZ скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('9CB65206-89C4-402c-BA80-02D8C59F9B1D');
 DelBHO('FE063DB9-4EC0-403e-8DD8-394C54984B2C');
 DelBHO('FE063DB1-4EC0-403e-8DD8-394C54984B2C');
 DelBHO('9CB65201-89C4-402c-BA80-02D8C59F9B1D');
 QuarantineFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL','');
 QuarantineFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL','');
 DeleteFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL');
 DeleteFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL');
 DeleteFileMask('C:\Program Files\AskTBar','*.*',true);
 DeleteDirectory('C:\Program Files\AskTBar');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Повторите лог virusinfo_syscheck (скрипт №2 сбора информации)
и лог HijackThis.

**Ilia** · 05.05.2010, 13:10

Не могу выполнить ваш скрипт т.к. AVZ пишет "ошибка-expected в сроке 19.1", пробовал несколько раз. Спасибо.

**polar_owl** · 05.05.2010, 13:27

А Вы его правильно скопировали?

**Ilia** · 05.05.2010, 14:29

Конечно я его скопировал в блокнот и затем этот файл загружал в AVZ. сейчас еще раз попробую с копировать т.к. может бвть точку в конце пропустил.

**Ilia** · 05.05.2010, 15:04

Всё получилось (точку пропустил), отправляю. Спасибо

**polar_owl** · 05.05.2010, 15:26

В логах чисто.
Рекомендуется поставить последнюю версию Acrobat Reader с сайта Adobe

**Ilia** · 05.05.2010, 15:27

Ну как есть ещё у меня эта инфекция? Сейчас поставлю. Спасибо.

**polar_owl** · 05.05.2010, 15:32

Сообщение от Ilia

Ну как есть ещё у меня эта инфекция?

Ваш порнобаннер потер CureIt.

Порнобанер убрал с помощью надстроек к IE (заявка № 77513)

Опции темы