Порнобанер-вымогатель

Printable View

10.01.2010, 20:55
zhaan

Порнобанер-вымогатель

Через 3-5 минут после загрузки системы появляется порнобанер.

AVZ для получение логов бы запущен в безопасном режиме.
10.01.2010, 22:04
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{C89E07B6-D518-A5C3-32E6-EDE0572E11F7}');
QuarantineFile('C:\SysFiles\a_EiayFj26BfctQ7oJ9.dll','');
DelBHO('{6BAE6F1C-2385-EB29-58C2-0A66F3BB280F}');
QuarantineFile('C:\SysFiles\azuHe9wMv9cwuaTMc.dll','');
DeleteFile('C:\SysFiles\azuHe9wMv9cwuaTMc.dll');
DeleteFile('C:\SysFiles\a_EiayFj26BfctQ7oJ9.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
сделайте логи в нормальном режиме
11.01.2010, 15:13
zhaan

После выполнения скрипта банер все равно выполз.
11.01.2010, 17:25
Bratez

1. [b]Отключите восстановление системы![/b]

2. Удалите полностью папку [B]C:\SysFiles[/B].

3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\43D6~1\LOCALS~1\Temp\brcht.exe','');
QuarantineFile('C:\DOCUME~1\43D6~1\LOCALS~1\Temp\vrabam.dll','');
DeleteFile('C:\DOCUME~1\43D6~1\LOCALS~1\Temp\vrabam.dll');
DeleteFile('C:\DOCUME~1\43D6~1\LOCALS~1\Temp\brcht.exe');
DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job');
DeleteFileMask('C:\DOCUME~1\43D6~1\LOCALS~1\Temp', '*.*',true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

4. Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=66695[/url]).

5. Сделайте новые логи.
11.01.2010, 21:02
zhaan

Новые логи после выполнения скрипта.
11.01.2010, 21:22
V_Bond

что с проблемами ?
11.01.2010, 21:27
zhaan

Все исчезло. Спасибо за помощь.
12.01.2010, 21:27
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\43d6~1\locals~1\temp\brcht.exe - [B]Trojan-Ransom.Win32.PinkBlocker.dw[/B] ( DrWEB: Trojan.Winlock.796 )[*] c:\docume~1\43d6~1\locals~1\temp\vrabam.dll - [B]Trojan-Ransom.Win32.PinkBlocker.dv[/B][/LIST][/LIST]