Гей баннер

Printable View

18.01.2011, 12:08
nazgul

Гей баннер

Здраствуйте.

хозяйка компьютера говорит, что у нее выскочил порнобаннер... она испугалась и выключила компьютер :) я, честно говоря, этого баннера не видел :) и за двое суток он у меня так и не появился больше... CureIt тоже ничего не нашел... посмотрите, пожайлуста, логи - нету ли чего подозрительного. заранее спасибо. :)
18.01.2011, 12:11
nazgul

Вложений: 3

блин, вложения не прикрепились :(
18.01.2011, 13:07
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=4905]- Системное восстановление[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\paradis\AppData\Local\Temp\DMnQ5fxs.sys','');
QuarantineFile('C:\Windows\Temp\TS_30D3.tmp','');
QuarantineFile('C:\Users\paradis\AppData\Roaming\Lavay\nyeq.exe','');
QuarantineFile('C:\Users\paradis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe','');
QuarantineFileF('C:\Users\paradis\AppData\Roaming\Lavay','*.*',true,' ',0 , 0);
DeleteFile('C:\Users\paradis\AppData\Roaming\Lavay\nyeq.exe');
DeleteFile('C:\Windows\Temp\TS_30D3.tmp');
DeleteFile('C:\Users\paradis\AppData\Local\Temp\DMnQ5fxs.sys');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
[/code]

После выполнения скрипта компьютер перезагрузится.

Пришлите карантин согласно [b]Приложения 3[/b] правил по красной ссылке [color=Red][u][b]Прислать запрошенный карантин[/b][/u][/color] вверху темы.

Сделайте новые логи.
18.01.2011, 14:22
nazgul

к сожалению попытка выполнить данный скрипт приводит к закрытию avz. в карантине ничего не появляется... последнее, что он пишет, что-то вроде "Ошибка прямого чтения C:\Users\paradis\AppData\Local\Temp\DMnQ5fxs.sys"
пробовал в безапасном режиме - все тоже самое :(
18.01.2011, 15:07
миднайт

Программы защиты выключали на время выполнения скрипта? AVZ запускали с правами администратора? Я подправил скрипт, добавил удаление файла. Попробуйте выполнить его еще раз. Потом повторите логи.
18.01.2011, 15:36
nazgul

я его в сейф моде же запускал (там насколько я понимаю никакие программы защиты не работают) и от админа запускал... как только не запускал :) ничего не помогает :( новый ариант скрипта тоже приводит к закрытию avz и пустому карантину :(
18.01.2011, 17:07
regist

[B]nazgul[/B], - Сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Гмер[/url]
19.01.2011, 12:07
nazgul

пришлось в архив запихать лог :)
19.01.2011, 17:49
миднайт

[url="http://virusinfo.info/showthread.php?t=10025"]Очистите[/url] темп-папки, кэш проводников, cookies и корзину.
Ничего вредоносного не заметил.