-
Junior Member
- Вес репутации
- 50
Вы просматривали гей-порно-видео. Для оплаты услуги и удаления данного сообщения отправьте SMS с текстом 503741002193 на номер 6681. Полученный в ответном смс код введите в поле ниже.
Здравствуйте. Появилась проблема, суть такова: вместо рекламы и прочего в браузере вот такая вот надпись
Вы просматривали гей-порно-видео.
Для оплаты услуги и удаления данного сообщения отправьте SMS с текстом 503741002193 на номер 6681.
Полученный в ответном смс код введите в поле ниже.
Не пускает на сайт вконтакте, например, на некоторые заходит.
В добавок ко всему не запускаются некоторые программы, переименование помогло запустить AvZ. В папочке Windows появились вот такие экзешники 1ed9em6jm.exe и 1ed9em6jm.exe.exe
Очень прошу помочь, логи прилагаются.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Не волнуйтесь, сейчас напишу скрипт...
Добавлено через 5 минут
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\1ed9em6jm.exe');
TerminateProcessByName('c:\windows\1ed9em6jm.exe.exe');
TerminateProcessByName('c:\docume~1\4123~1.xyn\locals~1\temp\avntsc.exe');
QuarantineFile('c:\windows\1ed9em6jm.exe.exe','');
QuarantineFile('c:\windows\1ed9em6jm.exe','');
StopService('srv32');
DeleteService('srv32');
QuarantineFile('C:\WINDOWS\1ed9em6jm.exe','');
QuarantineFile('C:\DOCUME~1\4123~1.XYN\LOCALS~1\Temp\avntsc.exe','');
DeleteFile('C:\DOCUME~1\4123~1.XYN\LOCALS~1\Temp\avntsc.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer11');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer11');
DeleteFile('C:\WINDOWS\1ed9em6jm.exe');
BC_DeleteSvc('srv32');
DeleteFile('c:\windows\1ed9em6jm.exe');
DeleteFile('c:\windows\1ed9em6jm.exe.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(13);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
Последний раз редактировалось olejah; 10.10.2010 в 10:35.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 50
Выслал карантин, повторяю логи, мил человек.
-
Junior Member
- Вес репутации
- 50
-
-
-
Junior Member
- Вес репутации
- 50
Извините, я просто в дурдоме 2 недели был от военкомата.
Добавлено через 37 секунд
Обязательно долечусь!
Добавлено через 8 минут
Мне просто долечиться там, или ждать дальнейших установок к действиям?
Последний раз редактировалось КапитанБолт; 10.10.2010 в 11:32.
Причина: Добавлено
-
Выполните скрипт в АВЗ -
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
прикрепите к сообщению файл fystemRoot.log, который появится в папке с AVZ
-
-
Junior Member
- Вес репутации
- 50
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\4123~1.xyn\\locals~1\\temp\\avntsc.e xe - Trojan.Win32.Jorik.IRCbot.jn ( DrWEB: Win32.HLLW.Autoruner.32824, BitDefender: Trojan.Generic.4928410, NOD32: Win32/AutoRun.IRCBot.FL worm, AVAST4: Win32:Dropper-gen [Drp] )
- c:\\windows\\1ed9em6jm.exe - Trojan.Win32.Qhost.otd ( DrWEB: Trojan.HttpBlock.33, BitDefender: Trojan.Generic.4982732, NOD32: Win32/LockWeb.J trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\1ed9em6jm.exe.exe - Trojan.Win32.Qhost.otd ( DrWEB: Trojan.HttpBlock.33, BitDefender: Trojan.Generic.4982732, NOD32: Win32/LockWeb.J trojan, AVAST4: Win32:Malware-gen )
-