Помогите вирус смс

Добрый вечер, вобщем вчера девушка зашла под своей учетной записью на компе и появился баннер розовый pornhub.com с 3 картинками и просит выслать смс на номер 3381 с текстом 1840171953285. Все заблокировалось и ничего нельзя сделать, при запуске диспетчера задач все сворачивается. Я зашел под своей учетной записью и у меня всеработало. Поставил dr.web обновил базы он нашел пару вирус удалил их, но баннер не исчез. Сканирование производил из безопасного режима. потом выполнил действия описанные на форуме. Баннер не исчез. Прошу помощи.

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\1\LOCALS~1\Temp\bldjad.exe[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\bldjad.exe','');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\bldjad.exe');
QuarantineFile('C:\DATA\FILES\BEAST.exe','');
QuarantineFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\LucK.exe','');
QuarantineFile('C:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe','');
QuarantineFile('C:\QUICKTIME\Q-43234FDHJ-0234567123-887321236-432\FEB2.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe','');
QuarantineFile('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe','');
DeleteFile('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe');
DeleteFile('C:\QUICKTIME\Q-43234FDHJ-0234567123-887321236-432\FEB2.exe');
DeleteFile('C:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe');
DeleteFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\LucK.exe');
DeleteFile('C:\DATA\FILES\BEAST.exe');
DelCLSID('{67KLN5J0-4OPM-01WE-AAX5-314CCA322142}');
DelCLSID('{67EFG7H6-8IJL-56YT-KLH4-76WE2D3RAM87}');
DelCLSID('{64KLC5K0-4OPM-00WE-AAX8-17EF1D187666}');
DelCLSID('{64KLC5K0-4OPM-00WE-AAX8-17EF1D187263}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C735612}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX3C644141}');
DeleteFileMask('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013', '*.*', true);
DeleteDirectory('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013');
DeleteFileMask('C:\CONFIG', '*.*', true);
DeleteDirectory('C:\CONFIG');
DeleteFileMask('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013');
DeleteFileMask('C:\RECYCLER', '*.*', true);
DeleteDirectory('C:\RECYCLER');
DeleteFileMask('C:\QUICKTIME\Q-43234FDHJ-0234567123-887321236-432', '*.*', true);
DeleteDirectory('C:\QUICKTIME\Q-43234FDHJ-0234567123-887321236-432');
DeleteFileMask('C:\QUICKTIME', '*.*', true);
DeleteDirectory('C:\QUICKTIME');
DeleteFileMask('C:\ROM\P-43553JIYW-8374322329-0909090987-120', '*.*', true);
DeleteDirectory('C:\ROM\P-43553JIYW-8374322329-0909090987-120');
DeleteFileMask('C:\ROM', '*.*', true);
DeleteDirectory('C:\ROM');
DeleteFileMask('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013', '*.*', true);
DeleteDirectory('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013');
DeleteFileMask('c:\RESTORE', '*.*', true);
DeleteDirectory('c:\RESTORE');
DeleteFileMask('C:\DATA\FILES', '*.*', true);
DeleteDirectory('C:\DATA\FILES');
DeleteFileMask('C:\DATA', '*.*', true);
DeleteDirectory('C:\DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Спасибо, домой приду сделаю.

[size="1"][color="#666686"][B][I]Добавлено через 11 часов 36 минут[/I][/B][/color][/size]

Удалить через hijack не получилось. Просто белый экран сканера был и все, при последующей проверке ключ был на месте. Пробовал ключ удалить вручную из реестра, но он выдал ошибка записи, хотя я заходил в безопасном режиме под админом.

Карантин, согласно приложению 3 выслал.

Где новые логи?

Вот логи.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1\Application Data\vdolew.exe,explorer.exe,C:\Documents and Settings\1\Application Data\mqpp.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\vdolew.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\mqpp.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\bldjad.exe','');
QuarantineFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\mB67w777.sys','');
DeleteFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\mB67w777.sys');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\bldjad.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3519503665-1553195675-2899160564-1003\Software\Microsoft\Windows\CurrentVersion\Run','explorer');
DeleteFile('C:\Documents and Settings\1\Application Data\vdolew.exe,explorer.exe,C:\Documents and Settings\1\Application Data\mqpp.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\vdolew.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\mqpp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Пробуйте теперь выполнить фикс в HiJack

Сделайте новые логи

[QUOTE=thyrex;655709]Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1\Application Data\vdolew.exe,explorer.exe,C:\Documents and Settings\1\Application Data\mqpp.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\vdolew.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\mqpp.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\bldjad.exe','');
QuarantineFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\mB67w777.sys','');
DeleteFile('C:\DOCUME~1\86A9~1\LOCALS~1\Temp\mB67w777.sys');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\bldjad.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-3519503665-1553195675-2899160564-1003\Software\Microsoft\Windows\CurrentVersion\Run','explorer');
DeleteFile('C:\Documents and Settings\1\Application Data\vdolew.exe,explorer.exe,C:\Documents and Settings\1\Application Data\mqpp.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\vdolew.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\mqpp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Пробуйте теперь выполнить фикс в HiJack

Сделайте новые логи[/QUOTE]

Спасибо, нашел его, получил доступ с livecd до каталога пользователя, и удалил вручную файл из application data. Который стоял в автозагузке в реестре. потом проверился всеми программами и вычистил все. Спасибо большое. А последний скрипт, что должен был сделать?

[QUOTE='NitrousX;656246']А последний скрипт, что должен был сделать?[/QUOTE]Убивать вирусы

После последнего скрипта баннер исчез и все работает, щас буду дотирать следы. Спасибо большое!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]