Порно-баннер

Printable View

08.12.2009, 11:47
realnitro

Порно-баннер

Порно-баннер на весь екран (3 картинки, снизу - смс), не работает AVZ(при его запуске как раз и появляется баннер) , отключен nod32. hijackthis запустился только после переименования.
08.12.2009, 12:05
Rene-gad

Здравствуйте,

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]O20 - AppInit_DLLs: C:\WINDOWS\system32\mLrgT.dll
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)
[/CODE]
- Перегрузите систему.
- Сделайте в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
08.12.2009, 12:28
realnitro

Вложений: 3

прикрепил логи
08.12.2009, 13:26
Bratez

[B]Скачайте AVZ версии 4.32 и обновите ее базы![/B]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\mLrgT.dll','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
DeleteFile('C:\WINDOWS\system32\mLrgT.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=62856[/url]).
Сделайте новые логи.
08.12.2009, 13:56
realnitro

карантин отослал, прикрепил логи
08.12.2009, 14:18
Shu_b

[QUOTE=realnitro;528867]карантин отослал[/QUOTE]

А точно тот карантин отослали? Сделайте пожалуйста так, как написано в приложении 3 правил.
08.12.2009, 14:20
Bratez

В логах ничего плохого не видно, но:
[QUOTE]Внимание !!! [COLOR="Red"][B]База поcледний раз обновлялась 06.04.2008 [/B][/COLOR]необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты [COLOR="red"][B]AVZ версии 4.30[/B][/COLOR][/QUOTE]
Все-таки настоятельно рекомендуется сделать логи актуальной версией с обновленными базами. Иначе уверенности в чистоте не так много, как хотелось бы.
08.12.2009, 15:17
realnitro

[QUOTE=Shu_b;528895]А точно тот карантин отослали? Сделайте пожалуйста так, как написано в приложении 3 правил.[/QUOTE]
скачал новый AVZ, обновил базы, карантин пуст.

новые логи прикрепил
08.12.2009, 15:27
snifer67

Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=40118[/url]
08.12.2009, 15:57
realnitro

готово
08.12.2009, 16:09
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ctmnbjg.dll','');
DeleteFile('C:\WINDOWS\system32\ctmnbjg.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wtaytsyb');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\wtaytsyb');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wtaytsyb\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\wtaytsyb\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\wtaytsyb');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\wtaytsyb');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\zzbnwlfd');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\zzbnwlfd');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\zzbnwlfd\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\zzbnwlfd\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\zzbnwlfd');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\zzbnwlfd');
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если окажется не пуст
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=62856[/url]).

Повторите [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].
08.12.2009, 16:30
realnitro

карантин отправил, лог прикрепил
08.12.2009, 17:20
thyrex

В логе чисто.

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
08.12.2009, 17:21
realnitro

Ок, так и сделаю.
Большое спасибо всем за помощь!
09.12.2009, 17:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\mlrgt.dll - [B]Trojan-Ransom.Win32.SMSer.su[/B] ( DrWEB: Trojan.Winlock.499, BitDefender: Trojan.Generic.2807377, NOD32: Win32/Agent.QJZ trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\overlapp32.dll - [B]Trojan-Banker.Win32.Delf.ap[/B] ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2756456, NOD32: Win32/Spy.Delf.OAH trojan, AVAST4: Win32:Malware-gen )[*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.aaxj[/B] ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.CJ.SMN, NOD32: Win32/Spy.Zbot.JF trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] \mediacodec.exe - [B]Trojan.Win32.Buzus.csuc[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]