Показано с 1 по 10 из 10.

Вы просматривали гей-порно-видео. Для оплаты услуги и удаления данного сообщения отправьте SMS с текстом 503741002193 на номер 6681. Полученный в ответном смс код введите в поле ниже. (заявка № 89634)

  1. #1
    Junior Member Репутация
    Регистрация
    13.09.2010
    Сообщений
    13
    Вес репутации
    23

    Вы просматривали гей-порно-видео. Для оплаты услуги и удаления данного сообщения отправьте SMS с текстом 503741002193 на номер 6681. Полученный в ответном смс код введите в поле ниже.

    Здравствуйте. Появилась проблема, суть такова: вместо рекламы и прочего в браузере вот такая вот надпись
    Вы просматривали гей-порно-видео.


    Для оплаты услуги и удаления данного сообщения отправьте SMS с текстом 503741002193 на номер 6681.
    Полученный в ответном смс код введите в поле ниже.

    Не пускает на сайт вконтакте, например, на некоторые заходит.
    В добавок ко всему не запускаются некоторые программы, переименование помогло запустить AvZ. В папочке Windows появились вот такие экзешники 1ed9em6jm.exe и 1ed9em6jm.exe.exe

    Очень прошу помочь, логи прилагаются.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Не волнуйтесь, сейчас напишу скрипт...

    Добавлено через 5 минут

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);  
     TerminateProcessByName('c:\windows\1ed9em6jm.exe');
     TerminateProcessByName('c:\windows\1ed9em6jm.exe.exe');
     TerminateProcessByName('c:\docume~1\4123~1.xyn\locals~1\temp\avntsc.exe');
     QuarantineFile('c:\windows\1ed9em6jm.exe.exe','');
     QuarantineFile('c:\windows\1ed9em6jm.exe','');
     StopService('srv32');
     DeleteService('srv32');
     QuarantineFile('C:\WINDOWS\1ed9em6jm.exe','');
     QuarantineFile('C:\DOCUME~1\4123~1.XYN\LOCALS~1\Temp\avntsc.exe','');
     DeleteFile('C:\DOCUME~1\4123~1.XYN\LOCALS~1\Temp\avntsc.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer11');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer11');
     DeleteFile('C:\WINDOWS\1ed9em6jm.exe');
     BC_DeleteSvc('srv32');
     DeleteFile('c:\windows\1ed9em6jm.exe');
     DeleteFile('c:\windows\1ed9em6jm.exe.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(13);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи
    Последний раз редактировалось olejah; 10.10.2010 в 10:35. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    13.09.2010
    Сообщений
    13
    Вес репутации
    23
    Выслал карантин, повторяю логи, мил человек.

  5. #4
    Junior Member Репутация
    Регистрация
    13.09.2010
    Сообщений
    13
    Вес репутации
    23
    А вот логи!
    Вложения Вложения

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Почему здесь не долечились?! - http://virusinfo.info/showthread.php?t=87818

  7. #6
    Junior Member Репутация
    Регистрация
    13.09.2010
    Сообщений
    13
    Вес репутации
    23
    Извините, я просто в дурдоме 2 недели был от военкомата.

    Добавлено через 37 секунд

    Обязательно долечусь!

    Добавлено через 8 минут

    Мне просто долечиться там, или ждать дальнейших установок к действиям?
    Последний раз редактировалось КапитанБолт; 10.10.2010 в 11:32. Причина: Добавлено

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Выполните скрипт в АВЗ -

    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else 
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    прикрепите к сообщению файл fystemRoot.log, который появится в папке с AVZ

  9. #8
    Junior Member Репутация
    Регистрация
    13.09.2010
    Сообщений
    13
    Вес репутации
    23
    Вот, пожалуйста.
    Вложения Вложения

  10. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,037
    Вес репутации
    1254
    Повторите логи АВЗ

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,517
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\4123~1.xyn\\locals~1\\temp\\avntsc.e xe - Trojan.Win32.Jorik.IRCbot.jn ( DrWEB: Win32.HLLW.Autoruner.32824, BitDefender: Trojan.Generic.4928410, NOD32: Win32/AutoRun.IRCBot.FL worm, AVAST4: Win32:Dropper-gen [Drp] )
      2. c:\\windows\\1ed9em6jm.exe - Trojan.Win32.Qhost.otd ( DrWEB: Trojan.HttpBlock.33, BitDefender: Trojan.Generic.4982732, NOD32: Win32/LockWeb.J trojan, AVAST4: Win32:Malware-gen )
      3. c:\\windows\\1ed9em6jm.exe.exe - Trojan.Win32.Qhost.otd ( DrWEB: Trojan.HttpBlock.33, BitDefender: Trojan.Generic.4982732, NOD32: Win32/LockWeb.J trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) КапитанБолт, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Вы просматривали гей-порно-видео.
      От puhIzh в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.10.2010, 12:20
    2. Вы просматривали гей-порно-видео
      От Kudar в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.10.2010, 18:37
    3. смс на номер 6681 c текстом 610681242 (заявка №27322)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 18.08.2010, 06:00
    4. Ответов: 19
      Последнее сообщение: 24.05.2010, 01:13
    5. Отправьте sms с текстом 733177 на номер 2474
      От HighMan в разделе Вредоносные программы
      Ответов: 17
      Последнее сообщение: 23.01.2010, 16:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00088 seconds with 21 queries