Помогите убрать последствия порнобаннера

**Homitskij** · 22.05.2010, 15:19

Появляется тут же при запуске системы. Естественно, он поверх всех окон. Deblocker не помог. Выглядит он так. Белый фон, около левого и правого краев картинки девушки с голой грудью. Позвонил в 88001007337, набрал код, ,баннер исчез. Но позже он появляется снова.
Помогите избавиться от последствий порнобаннера.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**ARMA9000** · 22.05.2010, 15:30

Отключить восстановление системы, защитное ПО.
Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\Documents and Settings\ДОМ.777-31D8640716E\Мои документы\МОЁ\МОЁ\Работа док\Схемы\Комп_диск_н\БВД-У\Управляющая программа\TestBil.exe','');
 QuarantineFile('D:\Documents and Settings\ДОМ.777-31D8640716E\Мои документы\МОЁ\МОЁ\Работа док\Схемы\04 08 09(пакет№6)\БВД-У\Управляющая программа\TestBil.exe','');
 QuarantineFile('D:\WINDOWS.0\system32\ntshrui.dll','');
 QuarantineFile('D:\Program Files\Common Files\System\WebCheck.dll','');
 QuarantineFile('D:\WINDOWS.0\Help\comexp.chm:kch3X8hd8DoDHbW+8DiZ:$DATA','');
 QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
 QuarantineFile('D:\WINDOWS.0\system32\calc.exe','');
 QuarantineFile('D:\RECYCLER\S-1-5-21-9629425193-7844497709-424939969-4912\winmap.exe','');
 QuarantineFile('D:\Program Files\plugin.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
 QuarantineFile('D:\DOCUME~1\FBA1~1.777\LOCALS~1\Temp\GPU-Z.sys','');
 DeleteFile('C:\Documents and Settings\All Users\systems.exe');
 DeleteFile('D:\Program Files\plugin.exe');
 DeleteFile('D:\WINDOWS.0\Help\comexp.chm:kch3X8hd8DoDHbW+8DiZ:$DATA');
 DeleteFile('D:\RECYCLER\S-1-5-21-9629425193-7844497709-424939969-4912\winmap.exe');
BC_ImportALL;
ExecuteWizard('TSW', 2, 2, true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи повторить.

**Homitskij** · 22.05.2010, 17:06

Карантин загрузил по красной ссылке. Новые логи прилагаю

**thyrex** · 22.05.2010, 17:41

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-14KC2A323342}');
 DeleteFile('D:\Program Files\Common Files\System\WebCheck.dll');
 DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
DeleteFileMask('C:\SYSTEM', '*.*', true);
DeleteDirectory('C:\SYSTEM');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1

**Homitskij** · 22.05.2010, 19:26

Прилагаю логи, что дальше?

**thyrex** · 22.05.2010, 19:43

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4337:TCP"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Generic Host for Win32 Services]

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**CyberHelper** · 23.05.2010, 19:43

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 28
В ходе лечения обнаружены вредоносные программы:
1. d:\windows.0\help\comexp.chm:kch3x8hd8dodhbw+8diz: $data - Packed.Win32.Krap.gx ( DrWEB: Trojan.Winlock.1678, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Rootkit-gen [Rtk] )