Показано с 1 по 10 из 10.

Порно Банер Просит отправить SMS с текстом 1101042 на номер 5121 (заявка № 77693)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    48
    Вес репутации
    26

    Thumbs up Порно Банер Просит отправить SMS с текстом 1101042 на номер 5121

    Здравствуйте. Проблема в том что после выхода в интернет подцепили порно банер. Просит отправить SMS с текстом 1101042 на номер 5121. Интернет работает в безопастном режиме, в простом не возможно. Логи сделал из безопастного режима Так как при простой загрузке запуская AVZ и нажимаю на стандартные скрипты то это окно не видно за порно банером.

    virusinfo_syscure.zip

    virusinfo_syscheck.zip

    hijackthis.log
    Последний раз редактировалось Slavking; 05.05.2010 в 13:14.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    День добрый. Логи прикрепите к сообщению

  4. #3
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    48
    Вес репутации
    26
    Уже прикрепил Не сразу почему то прикрепились

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
      QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
     QuarantineFile('C:\DOCUME~1\balabina\LOCALS~1\Temp\tswrnot.tmp 2nAKBHPPHH','');
     DeleteService('Netprotocol');
     QuarantineFile('C:\Documents and Settings\balabina\Application Data\netprotocol.exe','');
     DeleteFile('C:\Documents and Settings\balabina\Application Data\netprotocol.exe');
     DeleteFile('C:\DOCUME~1\balabina\LOCALS~1\Temp\tswrnot.tmp 2nAKBHPPHH');
     DeleteFile('C:\Documents and Settings\All Users\systems.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - обновите базы AVZ
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    266
    + к polword
    Пофиксите в Hijackthis:
    Код:
    O15 - ESC Trusted Zone: http://ardownload.adobe.com
    O15 - ESC Trusted Zone: http://www.adobe.com
    O15 - ESC Trusted Zone: http://mirror.adriver.ru
    O15 - ESC Trusted Zone: http://www.adtology2.com
    O15 - ESC Trusted Zone: http://ru.asus.com
    O15 - ESC Trusted Zone: http://www.asus.com
    O15 - ESC Trusted Zone: http://www.catode.ru
    O15 - ESC Trusted Zone: http://ad.drive.ru
    O15 - ESC Trusted Zone: http://www.drive.ru
    O15 - ESC Trusted Zone: http://download.drweb.com
    O15 - ESC Trusted Zone: http://products.drweb.com
    O15 - ESC Trusted Zone: http://www.drweb.com
    O15 - ESC Trusted Zone: http://www.freedrweb.com
    O15 - ESC Trusted Zone: http://www.google.ru
    O15 - ESC Trusted Zone: http://pagead2.googlesyndication.com
    O15 - ESC Trusted Zone: http://zakupki.gov.ru
    O15 - ESC Trusted Zone: http://softdom.i7i.ru
    O15 - ESC Trusted Zone: http://*.ifolder.ru
    O15 - ESC Trusted Zone: http://banner.kiev.ua
    O15 - ESC Trusted Zone: http://analytics.live.com
    O15 - ESC Trusted Zone: http://*.main
    O15 - ESC Trusted Zone: http://ru.msn.com
    O15 - ESC Trusted Zone: http://www.nodevice.ru
    O15 - ESC Trusted Zone: http://*.penza.vt.ru
    O15 - ESC Trusted Zone: http://samlab.popunder.ru
    O15 - ESC Trusted Zone: http://*.rapidshare.de
    O15 - ESC Trusted Zone: http://engine.rorer.ru
    O15 - ESC Trusted Zone: http://forum.ru-board.com
    O15 - ESC Trusted Zone: http://*.samlab.ws
    O15 - ESC Trusted Zone: http://*.shareua.com
    O15 - ESC Trusted Zone: http://*.soft-best.ws
    O15 - ESC Trusted Zone: http://drivers.softpedia.com
    O15 - ESC Trusted Zone: http://mail.sura.ru
    O15 - ESC Trusted Zone: http://fileconnectdl.symantec.com
    O15 - ESC Trusted Zone: http://searchg.symantec.com
    O15 - ESC Trusted Zone: http://securityresponse.symantec.com
    O15 - ESC Trusted Zone: http://www.symantec.com
    O15 - ESC Trusted Zone: http://shop.symantecstore.com
    O15 - ESC Trusted Zone: http://www.symantecstore.com
    O15 - ESC Trusted Zone: http://ad.tbn.ru
    O15 - ESC Trusted Zone: http://ad.600.tbn.ru
    O15 - ESC Trusted Zone: http://*.topdownloads.ru
    O15 - ESC Trusted Zone: http://*.www.ya.ru
    O15 - ESC Trusted Zone: http://*.ya.ru
    O15 - ESC Trusted Zone: http://www.yandex.ru
    O15 - ESC Trusted Zone: http://*.zoorai.net
    O15 - ESC Trusted Zone: http://ardownload.adobe.com (HKLM)
    O15 - ESC Trusted Zone: http://www.adobe.com (HKLM)
    O15 - ESC Trusted Zone: http://mirror.adriver.ru (HKLM)
    O15 - ESC Trusted Zone: http://www.adtology2.com (HKLM)
    O15 - ESC Trusted Zone: http://ru.asus.com (HKLM)
    O15 - ESC Trusted Zone: http://www.asus.com (HKLM)
    O15 - ESC Trusted Zone: http://www.catode.ru (HKLM)
    O15 - ESC Trusted Zone: http://ad.drive.ru (HKLM)
    O15 - ESC Trusted Zone: http://www.drive.ru (HKLM)
    O15 - ESC Trusted Zone: http://download.drweb.com (HKLM)
    O15 - ESC Trusted Zone: http://products.drweb.com (HKLM)
    O15 - ESC Trusted Zone: http://www.drweb.com (HKLM)
    O15 - ESC Trusted Zone: http://www.freedrweb.com (HKLM)
    O15 - ESC Trusted Zone: http://www.google.ru (HKLM)
    O15 - ESC Trusted Zone: http://pagead2.googlesyndication.com (HKLM)
    O15 - ESC Trusted Zone: http://zakupki.gov.ru (HKLM)
    O15 - ESC Trusted Zone: http://softdom.i7i.ru (HKLM)
    O15 - ESC Trusted Zone: http://*.ifolder.ru (HKLM)
    O15 - ESC Trusted Zone: http://banner.kiev.ua (HKLM)
    O15 - ESC Trusted Zone: http://analytics.live.com (HKLM)
    O15 - ESC Trusted Zone: http://*.main (HKLM)
    O15 - ESC Trusted Zone: http://ru.msn.com (HKLM)
    O15 - ESC Trusted Zone: http://www.nodevice.ru (HKLM)
    O15 - ESC Trusted Zone: http://*.penza.vt.ru (HKLM)
    O15 - ESC Trusted Zone: http://samlab.popunder.ru (HKLM)
    O15 - ESC Trusted Zone: http://*.rapidshare.de (HKLM)
    O15 - ESC Trusted Zone: http://engine.rorer.ru (HKLM)
    O15 - ESC Trusted Zone: http://forum.ru-board.com (HKLM)
    O15 - ESC Trusted Zone: http://*.samlab.ws (HKLM)
    O15 - ESC Trusted Zone: http://*.shareua.com (HKLM)
    O15 - ESC Trusted Zone: http://*.soft-best.ws (HKLM)
    O15 - ESC Trusted Zone: http://drivers.softpedia.com (HKLM)
    O15 - ESC Trusted Zone: http://mail.sura.ru (HKLM)
    O15 - ESC Trusted Zone: http://fileconnectdl.symantec.com (HKLM)
    O15 - ESC Trusted Zone: http://searchg.symantec.com (HKLM)
    O15 - ESC Trusted Zone: http://securityresponse.symantec.com (HKLM)
    O15 - ESC Trusted Zone: http://www.symantec.com (HKLM)
    O15 - ESC Trusted Zone: http://shop.symantecstore.com (HKLM)
    O15 - ESC Trusted Zone: http://www.symantecstore.com (HKLM)
    O15 - ESC Trusted Zone: http://ad.tbn.ru (HKLM)
    O15 - ESC Trusted Zone: http://ad.600.tbn.ru (HKLM)
    O15 - ESC Trusted Zone: http://*.topdownloads.ru (HKLM)
    O15 - ESC Trusted Zone: http://*.www.ya.ru (HKLM)
    O15 - ESC Trusted Zone: http://*.ya.ru (HKLM)
    O15 - ESC Trusted Zone: http://www.yandex.ru (HKLM)
    O15 - ESC Trusted Zone: http://*.zoorai.net (HKLM)
    O15 - ESC Trusted IP range: http://88.210.42.92
    O15 - ESC Trusted IP range: http://192.168.0.2
    O15 - ESC Trusted IP range: http://88.210.42.92 (HKLM)
    O15 - ESC Trusted IP range: http://192.168.0.2 (HKLM)
    O20 - AppInit_DLLs: winmm.dll
    п.с. У Вас еще в системе живет Kates - воровайка всех паролей, так что по окончании лечения, срочно поменяйте все пароли!

  7. #6
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    48
    Вес репутации
    26
    Спасибо большое Все убралось Сейчас я обновил AVZ, выполнил скрипты, выслал файл с карантином Насчет Kates огромное СПАСИБО за предупреждение, поменяем обязательно Сейча Отключу сеть чтобы сделать новые логи Как можно быстрее вышлю Так я профиксил все то что вы просили

  8. #7
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    48
    Вес репутации
    26
    Выслал новые логи Надеюсь там ничего страшного

    Вложение 235732

    Вложение 235733

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    В логах чисто.

    Осталось обновить систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Поставте все последние обновления системы Windows - тут
    - поставте Adobe Reader 9.3 или удалите старый.

  10. #9
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    48
    Вес репутации
    26
    Спасибо еще раз Мы планируем перейти на СП3 летом, так как у нас доменная сеть. Я очень ценю вашу рабоу, вы реально помагаете.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,556
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\all users\systems.exe - Trojan-Ransom.Win32.PinkBlocker.ayl ( AVAST4: Win32:MalOb-AR [Cryp] )


  • Уважаемый(ая) Slavking, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. SMS с текстом 3378138 на номер 5121
      От HighMan в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 21.04.2010, 22:04
    2. Ответов: 2
      Последнее сообщение: 08.04.2010, 18:00
    3. Ответов: 1
      Последнее сообщение: 22.02.2010, 16:00
    4. Порно банер просит отправить смс
      От Здорова в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.01.2010, 16:27
    5. Ответов: 5
      Последнее сообщение: 07.01.2010, 23:50

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01147 seconds with 22 queries