-
Junior Member
- Вес репутации
- 51
Помогите убрать последствия порнобаннера
Появляется тут же при запуске системы. Естественно, он поверх всех окон. Deblocker не помог. Выглядит он так. Белый фон, около левого и правого краев картинки девушки с голой грудью. Позвонил в 88001007337, набрал код, ,баннер исчез. Но позже он появляется снова.
Помогите избавиться от последствий порнобаннера.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключить восстановление системы, защитное ПО.
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\ДОМ.777-31D8640716E\Мои документы\МОЁ\МОЁ\Работа док\Схемы\Комп_диск_н\БВД-У\Управляющая программа\TestBil.exe','');
QuarantineFile('D:\Documents and Settings\ДОМ.777-31D8640716E\Мои документы\МОЁ\МОЁ\Работа док\Схемы\04 08 09(пакет№6)\БВД-У\Управляющая программа\TestBil.exe','');
QuarantineFile('D:\WINDOWS.0\system32\ntshrui.dll','');
QuarantineFile('D:\Program Files\Common Files\System\WebCheck.dll','');
QuarantineFile('D:\WINDOWS.0\Help\comexp.chm:kch3X8hd8DoDHbW+8DiZ:$DATA','');
QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('D:\WINDOWS.0\system32\calc.exe','');
QuarantineFile('D:\RECYCLER\S-1-5-21-9629425193-7844497709-424939969-4912\winmap.exe','');
QuarantineFile('D:\Program Files\plugin.exe','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
QuarantineFile('D:\DOCUME~1\FBA1~1.777\LOCALS~1\Temp\GPU-Z.sys','');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
DeleteFile('D:\Program Files\plugin.exe');
DeleteFile('D:\WINDOWS.0\Help\comexp.chm:kch3X8hd8DoDHbW+8DiZ:$DATA');
DeleteFile('D:\RECYCLER\S-1-5-21-9629425193-7844497709-424939969-4912\winmap.exe');
BC_ImportALL;
ExecuteWizard('TSW', 2, 2, true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.
-
-
Junior Member
- Вес репутации
- 51
Помогите убрать последствия порнобаннера
Карантин загрузил по красной ссылке. Новые логи прилагаю
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-14KC2A323342}');
DeleteFile('D:\Program Files\Common Files\System\WebCheck.dll');
DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
DeleteFileMask('C:\SYSTEM', '*.*', true);
DeleteDirectory('C:\SYSTEM');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 51
Помогите убрать последствия порнобаннера
Прилагаю логи, что дальше?
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4337:TCP"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Generic Host for Win32 Services]
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- d:\windows.0\help\comexp.chm:kch3x8hd8dodhbw+8diz: $data - Packed.Win32.Krap.gx ( DrWEB: Trojan.Winlock.1678, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Rootkit-gen [Rtk] )
-