при включении браузера Mozilla появляется реклама порносайта с предложением удалить ее за деньги, т.е. послать SMS
Printable View
при включении браузера Mozilla появляется реклама порносайта с предложением удалить ее за деньги, т.е. послать SMS
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\43D6~1\LOCALS~1\Temp\rgjs.exe','');
DelBHO('{1763B5D0-2561-348D-D187-8C36963CF123}');
QuarantineFile('C:\zZMhHasKtzpdsV.dll','');
QuarantineFile('C:\DOCUME~1\43D6~1\LOCALS~1\TempIadHide3.dll','');
DeleteFile('C:\zZMhHasKtzpdsV.dll');
DeleteFile('C:\DOCUME~1\43D6~1\LOCALS~1\Temp\rgjs.exe');
DeleteFile('C:\WINDOWS\Tasks\WindowsCheck.job');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем следующий
[CODE]var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
новые логи после выполненгия скриптов. Реклама не пропала
virus.zip -уберите из вложений
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новый лог virusinfo_syscheck.zip
Как убрать virus.zip из вложений.
После выполненгия скрипта реклама осталась
Поищите среди дополнений Firefox неизвестное Вам и удалите
[QUOTE=thyrex;610250]Поищите среди дополнений Firefox неизвестное Вам и удалите[/QUOTE]
В списке дополнений только рекомендуемыемые Firefox, да и те не установлены.
[QUOTE='evm180;610325']В списке дополнений только рекомендуемыемые Firefox[/QUOTE]Уверены? Версия Firefox какая?
Сделал следуещее
Инструменты - Дополнения в Расширении удалил Informer 1.0.
Реклама исчезла. Этого достаточно или нужны еще какието действия?
А говорили только рекомендуемые :)
Этого достаточно
[QUOTE=thyrex;610405]А говорили только рекомендуемые :)
Этого достаточно[/QUOTE]
Слышал,что еще при этом создаются библиотечные файлы (dll) и записи в реестре и их нужно удалять
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]