Новая версия порнобанера

Printable View

27.11.2009, 19:42
C61

Новая версия порнобанера

Проблема - аналогична [url]http://virusinfo.info/showthread.php?t=61519[/url]. Не запускается ничего, что может помочь. Компьютер выключается при попытке запустить любой антивирус, avz и др. В безопасном режиме - то же самое. Полиморфный avz с ifolder не качается - положите, пожалуйста, на рапиду или еще куда-то...
27.11.2009, 19:45
snifer67

Сделайте такой лог [url]http://virusinfo.info/showthread.php?t=53070[/url]
27.11.2009, 19:57
C61

Удалось скачать полиморфный avz, но после его запуска компьютер также сразу выключается...
Скачал mbam, он вообще не запускается.
27.11.2009, 19:58
snifer67

Сделайте такой лог [url]http://virusinfo.info/showthread.php?t=58309[/url]
27.11.2009, 19:59
pig

HijackThis тоже не работает?
27.11.2009, 20:25
C61

После попыток запустить полиморфный avz теперь при запуске любой задачи вылезает порнобаннер, который все блокирует.
Ненадолго помогает перевод часов в bios назад-вперед на несколько дней, а лучше всего к началу месяца, после этого запускается far и проводник. Но потом при запуске чего угодно появляется рекламный баннер... Опять кручу время, один раз удается что-то запустить.
HijackThis, как и ожидалось, не запускается.

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Полный облом: теперь на любую задачу вылезает порнобаннер. Полагаю, придется снимать винчестер и разбираться на другом компьютере... Но это уже в понедельник.
27.11.2009, 20:40
vegas

Переименовывать Hijackthis пробовали? В любой исполняемый файл с любым именем и расширением .pif или .com (asdf.pif например)
27.11.2009, 20:50
pig

Hint: баблиотека, отвечающая за порнобаннер, прописана в ключе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр AppInit_DLLs
30.11.2009, 15:21
C61

[QUOTE=vegas;518715]Переименовывать Hijackthis пробовали? В любой исполняемый файл с любым именем и расширением .pif или .com (asdf.pif например)[/QUOTE]
Ничего не запускается, я же говорил...

[QUOTE=pig;518723]Hint: баблиотека, отвечающая за порнобаннер, прописана в ключе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр AppInit_DLLs[/QUOTE]
Огромное спасибо !!! Загрузился с LiveCD, нашел по ключу реестра зловредную dll, удалил, теперь все задачи запускаются, вот сейчас пытаюсь найти и удалить все остатки этой дряни...
30.11.2009, 15:41
thyrex

Нужно выполнить [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL]
30.11.2009, 16:21
C61

Выполняю правила... Вот логи.
30.11.2009, 16:48
thyrex

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\sorry.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [act0] C:\smss.exe
O4 - HKLM\..\Run: [Microsoft Internet Agent] c:\windows\system32\winagent.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB771B74-A2AF-4827-BB28-7369D3860101}: NameServer = 85.255.112.190,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.190,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.190,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.190,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.190,85.255.112.232[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Documents and Settings\root\Application Data\Desktopicon\eBayShortcuts.exe','');
QuarantineFile('C:\WINDOWS\sorry.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\smss.exe','');
DeleteFile('C:\smss.exe');
QuarantineFile('c:\windows\system32\winagent.exe','');
DeleteFile('c:\windows\system32\winagent.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\sorry.exe');
DeleteFile('C:\Documents and Settings\root\Application Data\Desktopicon\eBayShortcuts.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[QUOTE]>> Заблокированы настройки системы System Restore[/QUOTE]Исправьте через [B]AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы -[/B] отметить указанное - [B]Исправить[/B]

Сделайте новые логи
30.11.2009, 17:26
C61

Новые логи.

Карантин отправил.
30.11.2009, 17:34
Bratez

Заразы в логах больше не видно.
Какие-то проблемы остались?
30.11.2009, 17:47
C61

Спасибо за помощь, проблем больше нет !
01.12.2009, 17:47
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.addm[/B] ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.CJ.AFDC, NOD32: Win32/Spy.Zbot.UN trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\winagent.exe - [B]Trojan.Win32.Agent2.leu[/B] ( DrWEB: Trojan.Click.31902, BitDefender: Trojan.Packed.Hiloti.Gen.2, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]