-
Порно банер
Доброе время суток!
При загрузке системы появляется сообщение "Оплатите заказанное ПОРНО видео...счет абонента БИЛАЙН № 964-529-26-63 340 руб. Номер телефона меняется при перезагрузке. В защищенном режиме аналогичное сообщение.
Прошу оказать содействие.
Последний раз редактировалось thyrex; 03.12.2011 в 23:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\usrinit.exe','');
DeleteFile('C:\WINDOWS\system32\usrinit.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог Gmer
-
-
>>- Файл quarantine.zip из папки AVZ загрузите по ссылке
При загрузке quarantine.zip - сообщение "Ошибка загрузки. Данный файл уже был загружен".
-
Сообщение от
polword
делайте это
-
-
Карантин загрузил. Gmer в работе, сканирует.
-
Последний раз редактировалось thyrex; 03.12.2011 в 23:31.
-
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится p1y0efzd.exe (gmer)
Код:
p1y0efzd.exe -del service eokxqzjqr
p1y0efzd.exe -del service oajnohccs
p1y0efzd.exe -del file "C:\WINDOWS\system32\tciubm.dll"
p1y0efzd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\eokxqzjqr"
p1y0efzd.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\eokxqzjqr"
p1y0efzd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\eokxqzjqr"
p1y0efzd.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\eokxqzjqr"
p1y0efzd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\oajnohccs"
p1y0efzd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\oajnohccs"
p1y0efzd.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\oajnohccs"
p1y0efzd.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Последний раз редактировалось thyrex; 03.12.2011 в 23:31.
-
- Сделайте повторный лог virusinfo_syscheck.zip;
-
-
Сделал на всякий случай все логи.
Последний раз редактировалось thyrex; 03.12.2011 в 23:32.
-
Что с проблемой?
Обновите систему
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Уязвимости устранены.
Проблема тоже. Спасибо всем!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\usrinit.exe - Trojan-Dropper.Win32.VB.artn ( DrWEB: Trojan.Winlock.2430, BitDefender: Trojan.Generic.5139343, AVAST4: Win32:Malware-gen )
-