Тот же долбанный порно баннер 3381

[bunimovich]

Не могу вообще ничего сделать. Кроме эксплорера не запускается ничего. Поэтому ни логов ни чего-то другого сделать не могу. Не даёт зайти ни в один каталог глубже одной папки. Тут же перегружает комп. Никакие переименования, ни чистки не помогли. Подскажите хоть с чего начать-то лечение?

зы
Подозреваю миниигрушки, скаченные с новокаки. Уже во второй раз.

[DefesT]

Попробуйте подобрать код здесь - http://support.kaspersky.ru/viruses/deblocker или http://www.drweb.com/unlocker/index
Полиморфный АВЗ тоже не запускается?
Попробуйте код - 279346830

[bunimovich]

вообще не работает ни одна программа. тут же перегруз. пробовал переименовать на бат не помогло. работает только msconfig и эксплорер. из доса зайти не могу потому, что ntfs. пишу с ноута.

[DefesT]

Код пробовали ввести? Через msconfig посмотрите что в автозагрузке висит.

[bunimovich]

всё что можно вырубил, оставил только необходимые. вирус похоже сидит в sysgif32, но я его их автозагрузки убрал.
время ожидание ввода следующего кода увеличивается по экспоненте. Сейчас жду результата по второму коду уже 200 секунд... баннер белый с синими полосами сверху и снизу и девка в двух экземплярах с голой грудью.
ссылка на сайт xnxx.com, для просмотра эровидео перейдите по ссылке pornohab.com
ЗЫ
Код ввёл, не помогло. Зашёл на Касперского попробовал два кода... не помогло.

[thyrex]

msconfig и эксплорер

А если переименовать AVZ в msconfig.exe он запустится?

[bunimovich]

я сейчас переставил винт с системой на старый комп и пробую на нём давить всё что создано непонятно чем за последние два дня... так что проверить не могу. но думаю, что вирь гасит проги не по имени. хиджак запускается начинает работать, но после проверки перегружается комп и зависает на строчке сохранение параметров, так что приходится его принудительно перегружать кнопкой.

Добавлено через 14 минут

Чистка на другом компе не помогла. Передавил все темпы и тд, опять та же хрень... не помогло. Где он сидит по опыту?

[DefesT]

номер 3381, а текст скажите какой?

[bunimovich]

Рекламный модуль для просмотра Эро-видео сайта pornohab.com
Это на верхней синей полосе
Потом на белом прямоугольнике:
Для просмотра Эровидео перейдите по ссылке: xnxx.com
Установив рекламный модуль вы... блаблабла
Чтобы закрыть рекламный модуль ранее 48 часов с моментав установки:
Отправьте смс с текстом М201017271 на номер 3381

Два кода последних тут из тем не подошли.

[thyrex]

Пробовали?

А если переименовать AVZ в msconfig.exe он запустится?

[bunimovich]

Тоже не проходит. НЕ открывается и после переименования...
Не даёт экзешникам запускаться

ЗЫ
Поможет ли такая штука... если винт переставить на другой комп и проверить авз? Имеет смысл?

[DefesT]

пробуйте - 73J2844S

[bunimovich]

УРАААААА!!!! Сработал этот код! Теперь как мне эту гадость вычистить? Логи и авз пускать?

[DefesT]

Сделайте комплект логов

[bunimovich]

мы прочистили комп руками при помощи anvir taskmanager, он показывает на подозрительные процессы и сервисы, всё необычное и непонятное покиляли. Также потёрли всё из temp'ов и кэшей. Теперь, вроде, нормально грузится. Логи, конечно, можно прислать, но, скорее всего, толку от них будет мало.
Самый странный файл назывался msscrn.exe, маскировался под микрософт (но в свойствах файла всё равно какие-то калямаляки),сидел в сервисах, потом куда-то убежал. НИ экзешника, ни процесса не видно.
Ещё странность -- при перезагрузке ПЕРЕД "приветствие" вываливается пустое окно с парочкой кракозябр и кнопкой ОК. Видимо, пытается загрузиться какой-то сервис, но ввиду оторванных конечностей, не может.

[bunimovich]

Вот логи. Пока вроде всё ок. Надеюсь, по-крайней мере...

[DefesT]

Пофиксите в Hijackthis:

Код:

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)

Обновите базы AVZ!
Отключите компьютер от интернета, а также отключите антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\EuGdiDrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\epmntdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ssmdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\srnh.lto','');
 QuarantineFile('C:\Program Files\Common Files\System\WebCheck.dll','');
 DeleteFile('C:\Program Files\Common Files\System\WebCheck.dll');
 DeleteFile('C:\WINDOWS\system32\srnh.lto');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

[bunimovich]

Высылаю новые логи, карантин тоже загрузил...

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\2VIFAV43\file[2].exe');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\2VIFAV43\file[1].exe');
 DeleteFileMask('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

[bunimovich]

Сделано...