порно-баннер

Приветствую уважаемый форум!

Порно-баннер на половину рабочего стола, требует отправить 2 SMS с текстом Т701016100 на номер 3381.
Такой комбинации нет на спец. ресурсах DrWeb и Касперского..

Сначала не давал запускать АВЗ, ХиДжек запускался но не давал ничего фиксить... После изучения лога Хиджека, загрузился с LiveCD, что-то поубивал в реестре + плюс пеерименовал подозрительный файл в system32 из mfml.dll в mfml.bad

После этого удалось запустить АВЗ (к сожалению при работающем антивирусе Касперского - его не удается отключить т.к. иконки в трее нет, запускать не дает - Пишет про ограничения политики на это приложение, но активности диска понимаю что Касперский работает)

Прошу помощи - посмотрите пожалуйста, логи! Под юзером, которым делал все вышеописанные танцы баннер пропал, если логонится другим юзером - баннер присутствует

AVZ запущен был как 777.pif

P.S. Под другими пользователями баннер пропал тоже.. Так что жалоб получается на данный момент нет - прошу посмотреть логи на предмет остаточных явлений видимА....

[QUOTE='Reanimator177;638652']плюс пеерименовал подозрительный файл в system32 из mfml.dll в mfml.bad[/QUOTE]Запакуйте этот файл с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Выполните скрипт в AVZ
[code]begin
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\WINDOWS\system32\mfml.dll');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip

файл выслал. Новый лог прилагаю. спасибо

Прошу прощения. Выдал ошибочную рекомендацию

Выполните скрипт в AVZ
[code]begin
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\PROGRA~1\KASPER~1\KASPER~2.0FO\adialhk.dll');
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новый лог + проверьте работу антивируса

сделал. Антивирус как будто работает
Новый лог прилагаю.

Плохого не видно. Переименованный файл вируса можете удалить.

Попробуйте поискать во временных папках всех пользователей (включая временные папки Интернет), в папке system32 exe-файлы с необычным именем из бессмысленного набора букв, цифр. Если найдутся, пришлите по красной ссылке

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \mfml.bad - [B]Backdoor.Win32.Agent.avcf[/B] ( DrWEB: Win32.HLLW.Autoruner.21042, NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]