Порнобаннер PORNHUB

Printable View

04.06.2010, 00:12
dj_ken

Порнобаннер PORNHUB

Вылазиет Порнобаннер Pornhub по середине поверх всех окон. Блокирует практически все приложения, антивирус, боаузеры, диспетчер задач... Есть возможность выхода в инет со второго компа. На зараженной машине загружался с загрузочной Винды XP чтобы проверить на вирусы - но ничего не нашел...
Помогите пожалуйста удалить этот вирус. Очень срочно нужно, не могу работать =((
04.06.2010, 00:16
thyrex

1. Скачайте образ [B]ERD Commander[/B], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[/code]
[B]параметр[/B]
[code]AppInit_DLLs[/code]
Содержимое этого параметра напишите в своем сообщении
04.06.2010, 00:34
dj_ken

C:\WINDOWS\system32\dtjblsev.dll
04.06.2010, 02:31
dj_ken

Нашел подобные действия из ветки - [url]http://virusinfo.info/showthread.php?p=647980[/url]

Выполнил с ERD Commander:
1. Переименовал указанный мной DLL файл
2. Очистил значение параметра AppInit_DLLs
3. Перезагрузился обычным образом и сделал логи

Что делать дальше?
04.06.2010, 11:56
DefesT

Обновить базы AVZ при помощи автоматического обновления (Файл/Обновление баз)
Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\nettir32.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\a4djusb.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\a4djavs.sys','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\nettir32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (также пришлите переименованный dll файл). Сделайте новые логи по правилам
04.06.2010, 12:50
thyrex

А также

Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.
05.06.2010, 11:02
dj_ken

Файл карантина выслал. Переименованный файл DLL не нашел - почему то его там уже нет...
Сделал новые логи, прикрепил - создан был почему-то только virusinfo_syscheck.zip
При выплнении rsit было выдано сообщение связанное с политикой безопасности, обратитесь к администратору, что не может запустится C:\Program Files\Trend Micro\Admin.exe
от RSIT тож прикрепил info.txt и log.txt
05.06.2010, 11:49
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wfboyk.dll','');
QuarantineFile('C:\WINDOWS\system32\mqpxtjzc.dll','');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszpe32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszpe32.exe');
DeleteFile('C:\WINDOWS\system32\wfboyk.dll');
DeleteFile('C:\WINDOWS\system32\mqpxtjzc.dll');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(19);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
05.06.2010, 12:54
dj_ken

Карантин выслал.
И вот прикрепляю логи.
05.06.2010, 13:18
thyrex

Что за файлы?
[QUOTE]C:\Documents and Settings\Admin\Рабочий стол\njd.d
C:\Documents and Settings\Admin\Рабочий стол\ylb555.d[/QUOTE]
05.06.2010, 13:31
dj_ken

Это в самом начале я пытался отловить этот порно-баннер, выискивал dll файлы по дате, переносил на рабочий стол, переименовывал и проверял появится ли банер снова...

Еще какие-то действия нужно выполнять?
На данный момент антивирус теперь нормально запускается, не ругается на админ права. Диспетчер задач тоже не блокируется.
05.06.2010, 14:10
thyrex

В логах чисто

Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
05.06.2010, 14:59
dj_ken

Спасибо огромное! =)
06.06.2010, 14:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]26[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\главное меню\программы\автозагрузка\nettir32.exe - [B]Backdoor.Win32.Bredolab.exv[/B] ( DrWEB: Trojan.Botnetlog.126, BitDefender: Backdoor.Generic.372792, AVAST4: Win32:MalOb-BH [Cryp] )[*] c:\documents and settings\admin\главное меню\программы\автозагрузка\siszpe32.exe - [B]Packed.Win32.Krap.ar[/B] ( AVAST4: Win32:MalOb-BH [Cryp] )[*] c:\windows\system32\mqpxtjzc.dll - [B]Packed.Win32.Krap.gx[/B] ( DrWEB: Trojan.Packed.20343, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\wfboyk.dll - [B]Worm.Win32.NeKav.df[/B] ( NOD32: Win32/AutoRun.Delf.EL worm, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]