Мерзкий банер

Printable View

27.11.2009, 18:28
Алекср

Мерзкий банер

У меня такая ситуация. Висит порно банер на весь экран, на котором написано

Для отключения рекламы Вам необходимо указать код разблокировки

1. Укажите вашу страну проживани Россия или Украина

2. Отправте смс с кодом: m20920007 на номер: 3649

3 укажите полученый код

Никакие программы (кроме Оперы) и антивирусы не запускаются. Восстановить систему не получается. Пожалуйста подскажите, что делать? Удалось скачать программы Hidjackthis и AVZ, а что делать дальше видимо выше моего уровня понимания. Пожалуйста помогите
27.11.2009, 18:31
Алекср

Загружаю полученное из Hijack
27.11.2009, 18:37
thyrex

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\EAvIJ.dll[/CODE]После перезагрузки сможете подготовить полный комплект логов
27.11.2009, 18:58
Алекср

Огромное Вам спасибо! Банер вроде как исчез!!! А какие логи мне надо выложить?
27.11.2009, 19:20
Алекср

Новый лог из hijack Avz сейчас включен на проверку. Вроде ничего пока не находит. В соседних темах я прочитал, что нужно в AVZ вставить какой то скрипт. Как это можно сделать?
27.11.2009, 19:24
snifer67

[quote]В соседних темах я прочитал, что нужно в AVZ вставить какой то скрипт. Как это можно сделать?[/quote]
Этот скрипт мы вам дадим.
28.11.2009, 02:46
Алекср

Комп страшно глючил инет не работалл из-за другого вируса, который блокировал выход в сеть через 10 минут. Сейчас перестал Добавляю логи
28.11.2009, 05:28
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\rttvinie.SYS','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
QuarantineFile('C:\WINDOWS\System32\aekgoprn.dll','');
QuarantineFile('C:\WINDOWS\system32\EAvIJ.dll','');
DeleteFile('C:\WINDOWS\system32\EAvIJ.dll');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\rttvinie.SYS');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=61517[/url]).
Сделайте новые логи.
28.11.2009, 06:53
Алекср

Большущее спасибо!!! Все получилось
28.11.2009, 12:51
thyrex

Выполните скрипт в AVZ
[code]begin
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\Windows\Tasks\Scheduled Update for Ask Toolbar.job');
ExecuteRepair(13);
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscure.zip
28.11.2009, 15:08
Алекср

OK
28.11.2009, 18:10
thyrex

Чисто

Установите SP3 (может потребоваться активация) + все новые заплатки
29.11.2009, 18:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\eavij.dll - [B]Trojan.Win32.Agent.dcou[/B] ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\sdra64.exe - [B]Trojan-Banker.Win32.Bancos.jci[/B] ( DrWEB: Trojan.PWS.Bancos.1099, BitDefender: Trojan.Generic.CJ.AFAF, AVAST4: Win32:Zbot-MKO [Trj] )[/LIST][/LIST]