Сегодня включил компьютер и вылез порно баннер с просьбой отправить смс, никак не убирается и не выключается! Мозилла работать отказывается, опера работает, перезагрузка тоже не работает,выключаю вручную. Помогите
Сегодня включил компьютер и вылез порно баннер с просьбой отправить смс, никак не убирается и не выключается! Мозилла работать отказывается, опера работает, перезагрузка тоже не работает,выключаю вручную. Помогите
Закройте все программы, выгрузите антивирус, фаерволл
пофиксите В HijackThis:
Выполните в AVZ скрипт:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\ODgsArQ.exe,\\?\globalroot\systemroot\system32\UbmAEXE.exe,\\?\globalroot\systemroot\system32\r9PNQjd.exe,
После выполнения скрипта компьютер сам перезагрузится.Код:begin ExecuteWizard('TSW',3,3,true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\all users\systems.exe'); QuarantineFile('C:\WINDOWS\system32\r9PNQjd.exe',''); DeleteFile('C:\WINDOWS\system32\r9PNQjd.exe'); QuarantineFile('C:\WINDOWS\system32\UbmAEXE.exe',''); DeleteFile('C:\WINDOWS\system32\UbmAEXE.exe'); QuarantineFile('C:\WINDOWS\system32\ODgsArQ.exe',''); DeleteFile('C:\WINDOWS\system32\ODgsArQ.exe'); QuarantineFile('c:\windows\explorer.exe:_1b4f4be1b401b9.txt:$DATA',''); QuarantineFile('c:\windows\explorer.exe:_1b16d781b1632a.txt:$DATA',''); DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61'); QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\0FC2C6\5AF024.EXE',''); QuarantineFile('C:\WINDOWS\VM_STI.EXE',''); DeleteService('Netprotocol'); QuarantineFile('C:\Documents and Settings\Terminator\Application Data\netprotocol.exe',''); QuarantineFile('c:\documents and settings\all users\systems.exe',''); DeleteFile('c:\documents and settings\all users\systems.exe'); DeleteFile('C:\Documents and Settings\Terminator\Application Data\netprotocol.exe'); DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe'); DeleteFile('c:\windows\explorer.exe:_1b16d781b1632a.txt:$DATA'); DeleteFile('c:\windows\explorer.exe:_1b4f4be1b401b9.txt:$DATA'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(13); ExecuteRepair(20); ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
Выполните после перезагрузки такой скрипт:
В папке c АВЗ сохранится virus.zip.Код:begin CreateQurantineArchive(GetAVZDirectory+'virus.zip'); end.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.
Повторите логи.
Спасибо,баннер убрался, вирус закачал
Файл сохранён как 100523_165434_virus_4bf9258a04b2c.zip
Размер файла 369610
MD5 00bff717cc2f68c80390bd3038e65d0d
Меня беспокоит следующее:
1. исполняемый файл Mozilla Firefox.exe был перемещен или удален, вместо него появился Мозилла в безопасном режиме ( я его не открывал, скрин прилагаю)
2. после сканирования в Hijackthis были обнаружены след пункты -
host 69.10.53.230 - vk.com
host 69.10.53.230 - vkontakte.ru
host 69.10.53.230 - odnoklassniki.ru
как то примерно так
Это что такое? Кто то с ip 69.10.53.230 пытается взломать мои куки в контакте? Я просто интересуюсь,может вы в курсе. Да , и при баннере сайт контакта не работал а постоянно перезагружался.
вот скрин
Спасибо за информацию, логи пролагаю
В логах чисто.
Выполните процедуру, описанную здесь:http://virusinfo.info/showthread.php?t=3519
Установите Acrobat 9.3
Сделал, результаты:
Архив 100523_191512_virusinfo_files_BANANZA-56E351A_4bf9468054358.zip, загружен 23.05.2010 1956, размер 7413363 байт
Всего файлов: 17 (исполняемых 17), из них:
зловреды или опасные объекты: 1
подозрительные: 0
занесены в базу безопасных AVZ: 2
В очереди на добавление в базу безопасных:
высокий приоритет: 6
обычный приоритет: 8
Внимание, в архиве обнаружены опасные или вредоносные объекты:
c:\documents and settings\all users\systems.exe: Trojan-Ransom.Win32.PinkBlocker.bjv
Для детального обследования и лечения рекомендуется обратиться в раздел Помогите
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\systems.exe - Trojan-Ransom.Win32.PinkBlocker.bjv ( DrWEB: Trojan.AdultBan.26 )
Уважаемый(ая) shtrobers, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.