Информер смс на 3649

Printable View

16.12.2009, 19:56
KonstS

Информер смс на 3649

Сегодня на компе был поставлен информер следующего содержания:
Если вы установили рекламный модуль, но решили отказаться от подписки, достаточно отправить смс на короткий номер, указанный ниже. С полученным кодом вы сможете удалить информер.
1 информер удалится автоматически через 30 дней.
2 бесплатный доступ к порно - видео архивам.
3 служба технической поддержки.

Чтобы удалить информер, отправьте смс с текстом 2113 на номер 3649.
введите код, полученный в ответном смс
Ссылка с информера ведет на megapornompeg.info

Информер был посажен в опере, в ie его нет.

Свежие антивирусы обнаружили только скрипт, который его посадил, в кэше оперы и в Document and Setting Мои документы пользователя.
Саму dll вируса обнаружить не удалось. Чистка настроек оперы не помогла.
16.12.2009, 20:04
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{5BBC6008-1D85-4C11-43AA-0F09350700ED}');
QuarantineFile('C:\SysFiles\aYC7ZCTMBQdt.dll','');
DelBHO('{388B7195-BC40-4559-ACAC-C2629185E4FD}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\kcalib.dll','');
DeleteService('winsecguard');
DeleteFile('C:\WINDOWS\system32\zpx2.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\kcalib.dll');
DeleteFile('C:\SysFiles\aYC7ZCTMBQdt.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
16.12.2009, 20:57
KonstS

Вложений: 3

Скрипт выполнил, информер остался
Файлы удалились, карантин пустой
Высылаю новые логи
17.12.2009, 01:12
thyrex

Выполнить в Опера
[b]Инструменты - Настройки - Дополнительно - Содержимое - Настроить JavaScript...[/b]

Если окно [b]Папка пользовательских скриптов[/b] непустое, очистить указанную в окне папку
17.12.2009, 20:00
KonstS

[QUOTE=thyrex;536990]Выполнить в Опера
[b]Инструменты - Настройки - Дополнительно - Содержимое - Настроить JavaScript...[/b]

Если окно [b]Папка пользовательских скриптов[/b] непустое, очистить указанную в окне папку[/QUOTE]

Помогло, спасибо!