Порнобаннер

Printable View

20.07.2010, 07:45
Depz

Порнобаннер

Здравствуйте
Словили порнобаннер. При загрузке компьютера открывалась страница файрфокса с ним, ни на какие действия не реагировал. Ctrl+Alt+Del не работает, пуск не нажимается, окошки не закрываются. Скачал новый drweb livecd, нашел 2 порнобаннера, удалил. Теперь при запуске винды она проходит приветствие и останавливается, при нажатии Ctrl+Alt+Del говорит что эта функция отключена администратором. При попытке загрузиться в безопасном режиме падает в бсод. ERD Commander 2005 не видит диска, другие livecd не видят установленной винды, но диски видят, реестр подключать отказываются.

Посоветуйте что делать ?
Заранее благодарен.
20.07.2010, 08:58
Depz

Загрузился в виндовс, открыл специальные возможности, запустил AVZ, стандартными скриптами разрешил запуск диспетчера задач. Просканировал, сделал логи, выкладываю
20.07.2010, 09:24
polword

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
F2 - REG:system.ini: Shell=C:\Documents and Settings\Admin\Рабочий стол\Новая папка (3)\vip_porno_22555.avi.exe
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\admin\рабочий стол\новая папка (3)\vip_porno_22555.avi.exe','');
DeleteFile('c:\documents and settings\admin\рабочий стол\новая папка (3)\vip_porno_22555.avi.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
20.07.2010, 09:52
Depz

После лечения HijackThis, появился рабочий стол. Антивирус тоже запустился, вроде все работает. Файл карантина пустой, попробовал загрузить, говорит "Ошибка загрузки. Данный файл уже был загружен".
20.07.2010, 10:20
polword

В логах подозрительного нет.

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

- Проведите процедуру, которая описана в первом сообщении [URL="http://virusinfo.info/showthread.php?t=3519"]тут[/URL]. Результат загрузки напишите в сообщении.
20.07.2010, 12:36
Depz

Все сделал как написали. Нашло 8 уязвимостей, все установил, запустил еще раз - лог пустой.

Спасибо огромное за помощь :)