Порноинформер 3649

Printable View

01.12.2009, 18:27
safrodao

Порноинформер 3649

Здарствуйте, спустя примерно 40 секунд после включения компьютера при запускании любого exe файла, выскакивает чёрный порно информер со следующим текстом:

Рекламная панель устанавливается только при посещении нашего сайта
Для отключения рекламы Вам необходимо указать код разблокировки
1. Укажите вашу страну проживания: (выпадающий список Украина/Россия)
2. Отправьте СМС с кодом М20930007 на номер: 4171 (если выбрать Россию - 3649)
3. Укажите полученый код:
и кнопка "отключить"

В безопасном режиме проверил комп c AVZ, антивирусом NOD32, Dr. Web CureIt! но ничего не помогло, доктор веб правда нашел троян, как бы вылечил но порнобаннер всё равно появляется и блокирует процессы... Успевал запустить программку ProcessKiller и убивал баннер, но это ни к чему не привело он просто пропадает а при новом запускании любого exe файла сново появляется. Так же заблокирован доступ к реестру,восстановлению системы, диспечеру задач... Помогите пожалуйсто, уже не знаю что делать?

Успел сделать лог в HijackThis`e
01.12.2009, 18:42
Rene-gad

Здравствуйте,

Все логи делаем в нормальном режиме. Прочитайте [URL="http://virusinfo.info/showthread.php?t=1235"]правила,[/URL] чтобы было быстрее.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - AppInit_DLLs: C:\Windows\system32\ynzWi.dll
[/CODE]

После перезагрузки:
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
01.12.2009, 20:34
safrodao

Вложений: 1

В нормальном режиме программы не запускаются, при попытке запуска вылазеет только баннер.

Первый ключ(07) не вижу, когда фиксю второй - вылазеет баннер. При фиксе 020 белое окно, перезагрузил компьютер и ничего не произошло.
01.12.2009, 21:29
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
QuarantineFile('C:\Users\1\AppData\Roaming\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Users\1\AppData\Roaming\AdSubscribe\AdSubscribe.dll');
QuarantineFile('C:\Windows\system32\ynzWi.dll','');
DeleteFile('C:\Windows\system32\ynzWi.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFileMask('C:\Users\1\AppData\Roaming\AdSubscribe', '*.*', true);
DeleteDirectory('C:\Users\1\AppData\Roaming\AdSubscribe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи (в нормальном режиме)
01.12.2009, 21:59
safrodao

Логи делаются. Карантин отправил, не знаю пришел или нет, выдал ошибку: "Результат загрузки
Ошибка загрузки. Данный файл уже был загружен."

Баннер пропал, всё нормально запускается, но к реестору, востановлению системы и др. по прежнему доступ отсутствует, всё время разные ошибки.
01.12.2009, 22:25
thyrex

Делайте логи в нормальном режиме
01.12.2009, 23:21
safrodao

Вложений: 1

Вот логи в нормальном режиме.
02.12.2009, 10:40
thyrex

Пофиксите в HiJack
[CODE]O20 - AppInit_DLLs: C:\Windows\System32\ynzWi.dll[/CODE]

Выполните скрипт в AVZ
[code]begin
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Что с проблемой?
02.12.2009, 14:26
safrodao

Сделал. Реестр работает. А когда нажимаешь "восстановление системы" пишет "отключенно групповой политикой..."

По большему счету проблемма решена. Спасибо вам огромное!
02.12.2009, 15:09
thyrex

[B]AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы[/B]
Если такой пункт найдется
[QUOTE]>> Заблокированы настройки системы System Restore[/QUOTE]отметьте его и нажмите [B]Исправить[/B]
02.12.2009, 15:12
safrodao

Исправил, реестр заработал,а вост. системы осталось недоступным попрежнему
02.12.2009, 15:25
Rene-gad

[QUOTE=safrodao;523311]вост. системы осталось недоступным попрежнему[/QUOTE]
Удалите папки System Volume information на всех дисках : [url]http://support.microsoft.com/?scid=kb%3Bru%3B309531&x=15&y=12[/url].
Перегрузите ОС.
03.12.2009, 15:25
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]67[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\ynzwi.dll - [B]Trojan.Win32.Agent.dcou[/B] ( DrWEB: BackDoor.Siggen.3863, BitDefender: Trojan.Generic.2819874, NOD32: Win32/Agent.QJR trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]