Порно баннер.

Printable View

26.11.2009, 19:26
piligrim

Порно баннер.

Здравствуйте!
Неизвестно откуда, словил вирус - постоянно всплывающий порно баннер блокирующий все окна в том числе диспетчер задач. Особых навыков в борьбе с такой гадостью нет поэтому обращаюсь к вам. Путем долгих манипуляций и частых перезагрузок все таки выполнил все пункты описанные в правилах, но AVZ удалось запустить только после переименования пускового файла.
Также делал проверку с помощью [URL="ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe"][B][COLOR=#0532aa]Dr. Web CureIt![/COLOR][/B][/URL] - не помогло :(
Вот логи AVZ и HiJackThis:
26.11.2009, 19:34
Никита Соловьев

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
QuarantineFile('C:\Documents and Settings\Pg_B\Application Data\QIP\Profiles\pg_b\RcvdFiles\4ertik_369009384\RvAutoClicker 1[1].0.exe','');
QuarantineFile('C:\WINDOWS\system32\XBvrq.dll','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Файл [B]quarantine.zip[/B] закачайте по ссылке [U]прислать запрошенный карантин[/U] вверху темы
26.11.2009, 19:41
piligrim

Выполнил.
После загрузки файла в окне было написано следующее:

Результат загрузки
Файл сохранён как 091126_193908_quarantine_4b0eaf2c3da24.zip
Размер файла 402516
MD5 b25dfc5ea0e155023e5ddfae87a2695e

Я правильно все сделал?
26.11.2009, 19:47
Никита Соловьев

Да, все верно

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\XBvrq.dll','');
DeleteFile('C:\WINDOWS\system32\XBvrq.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
26.11.2009, 20:02
piligrim

Кажется помогло, спасибо вам большое :)
26.11.2009, 20:05
Никита Соловьев

Сделайте новые логи
26.11.2009, 20:45
piligrim

Вот:
26.11.2009, 20:49
Никита Соловьев

Пофиксите с помощью hijackthis:
[CODE]O20 - AppInit_DLLs: C:\WINDOWS\system32\XBvrq.dll[/CODE]

Больше ничего плохого
27.11.2009, 20:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\xbvrq.dll - [B]Trojan.Win32.Agent.dcou[/B] ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]