Printable View
Доброе время суток!
При загрузке системы появляется сообщение "Оплатите заказанное ПОРНО видео...счет абонента БИЛАЙН № 964-529-26-63 340 руб. Номер телефона меняется при перезагрузке. В защищенном режиме аналогичное сообщение.
Прошу оказать содействие.
1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\usrinit.exe','');
DeleteFile('C:\WINDOWS\system32\usrinit.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][COLOR="Blue"][B]Gmer[/B][/COLOR][/URL]
>>- Файл [B][COLOR=red]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке
При загрузке [B][COLOR=#ff0000]quarantine.zip[/COLOR][/B] - сообщение "Ошибка загрузки. Данный файл уже был загружен".
[QUOTE=polword;737938]
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][COLOR=Blue][B]Gmer[/B][/COLOR][/URL][/QUOTE]
делайте это
Карантин загрузил. Gmer в работе, сканирует.
Gmer выполнен
Сохраните приведённый ниже текст в файл [b]cleanup.bat[/b] в ту же папку, где находится p1y0efzd.exe (gmer)
[CODE]p1y0efzd.exe -del service eokxqzjqr
p1y0efzd.exe -del service oajnohccs
p1y0efzd.exe -del file "C:\WINDOWS\system32\tciubm.dll"
p1y0efzd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\eokxqzjqr"
p1y0efzd.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\eokxqzjqr"
p1y0efzd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\eokxqzjqr"
p1y0efzd.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\eokxqzjqr"
p1y0efzd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\oajnohccs"
p1y0efzd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\oajnohccs"
p1y0efzd.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\oajnohccs"
p1y0efzd.exe -reboot
[/CODE]И запустите сохранённый пакетный файл [b]cleanup.bat[/b].
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
Лог GMER сделан.
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
Сделал на всякий случай все логи.
Что с проблемой?
Обновите систему
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
После обновления:
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Уязвимости устранены.
Проблема тоже. Спасибо всем!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\usrinit.exe - [B]Trojan-Dropper.Win32.VB.artn[/B] ( DrWEB: Trojan.Winlock.2430, BitDefender: Trojan.Generic.5139343, AVAST4: Win32:Malware-gen )[/LIST][/LIST]