Банер СМС 158122 16 номер 5121

Printable View

02.05.2010, 09:42
jkeg

Банер СМС 158122 16 номер 5121

Антинвирусы вирусов не видят а порнобанер висит!!!
Проверьте пожалуйста систему
Высылаю логи согласно правилам
02.05.2010, 09:46
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ghfoni.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\91fc3694.exe','');
QuarantineFile('C:\WINDOWS\system32\3eaafbd.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
QuarantineFile('Asp.d6d','');
DeleteFile('C:\WINDOWS\system32\3eaafbd.exe');
DeleteFile('C:\WINDOWS\system32\91fc3694.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
02.05.2010, 09:50
jkeg

Порнобанер

Появился порнобанер просит отправить СМС текстом 158122 16 номер 5121
сайт pornhub.com
Антивирусники не могут разблокировать проверка системы ни Drweb ни касперским вирусов нет!!!
Проверте пожалуйста систему высылаю логи согласно правил
02.05.2010, 10:06
jkeg

Спасибо за скорость, скрипт выполнил,карантин выслал,
банер пока висит
02.05.2010, 10:15
PavelA

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ghfoni.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\3eaafbd.exe','');
QuarantineFile('C:\WINDOWS\system32\91fc3694.exe','');
DeleteFile('C:\WINDOWS\system32\91fc3694.exe');
DeleteFile('C:\WINDOWS\system32\3eaafbd.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ghfoni.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать заново логи после перезагрузки.
02.05.2010, 11:18
V_Bond

Выполните скрипт
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ghfoni.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
удалите задания в планировщике
повторите логи
02.05.2010, 11:36
jkeg

Отлично, банер исчез логи повторяю
Спасибо
02.05.2010, 11:49
thyrex

Выполните скрипт в AVZ
[code]begin
DeleteFile('%windir%\Tasks\autochk.job');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Новый лог virusinfo_syscheck.zip сделайте
02.05.2010, 13:19
jkeg

Спасибо,выполнил скрипт,повторяю лог
02.05.2010, 19:40
thyrex

Пофиксите в HiJack
[CODE]R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - - (no file)[/CODE]Больше плохого не видно

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
Обновите [url="http://www.java.com/ru/download/manual.jsp"]JavaRE[/url]
03.05.2010, 19:40
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\admin\locals~1\temp\ghfoni.exe - [B]Trojan-Ransom.Win32.PinkBlocker.awz[/B][/LIST][/LIST]