Черный порно банер с просьбой СМС на 3649

Printable View

27.11.2009, 22:18
Emty0

Черный порно банер с просьбой СМС на 3649

После загрузки винды, вылазит порно баннер на пол экрана с просьбой отправить смс с текстом M20920007 на номер 3649, AVZ не запускаеться, переиминование не помогает, получилось только с Hijack
27.11.2009, 22:22
snifer67

Пофиксить в HijackThis
[code]
O2 - BHO: MS Media Module - {61861D95-85BF-3ECF-42CA-A672EB2925BE} - %APPDATA%\aN4T_dzS.dll (file missing)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O20 - AppInit_DLLs: E:\WINDOWS\system32\TBXuX.dll
[/code]
ПК перезагрузите.

Попробуйте сделать логи avz.
27.11.2009, 23:54
Emty0

Вложений: 1

Так же диспетчер задач не доступен
28.11.2009, 00:14
thyrex

[QUOTE]>> Заблокированы настройки системы System Restore[/QUOTE]Если сами не блокировали, исправьте через [B]AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\WINDOWS\system32\Rundll32.exe','');
QuarantineFile('E:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('e:\windows\system32\sshnas.dll','');
DeleteFile('E:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B]Обновите базы AVZ[/B]
Сделайте новые логи
28.11.2009, 01:15
Emty0

Вложений: 3

ВОт
28.11.2009, 01:32
Emty0

Карантин загрузился?
28.11.2009, 04:37
Bratez

Карантин загрузился.

[QUOTE='thyrex;518926'][B]Обновите базы AVZ[/B]
Сделайте новые логи[/QUOTE]
А воз и ныне там:
[QUOTE]Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
28.11.2009, 16:12
Emty0

Обновил
28.11.2009, 16:20
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\Temp\b.exe','');
QuarantineFile('e:\windows\system32\sshnas.dll','');
QuarantineFile('e:\windows\wind7upd.exe','');
TerminateProcessByName('e:\windows\wind7upd.exe');
DeleteFile('e:\windows\wind7upd.exe');
DeleteFile('e:\windows\system32\sshnas.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('E:\Temp\b.exe');
DeleteFile('C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи.
28.11.2009, 17:52
Emty0

.
28.11.2009, 17:56
snifer67

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
DeleteFile('E:\Temp\b.exe');
DeleteFileMask('E:\Temp', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
28.11.2009, 18:20
Emty0

Прошу
28.11.2009, 18:57
thyrex

Выполните скрипт в AVZ
[CODE]begin
DeleteFile('E:\Temp\b.exe');
DeleteFile('E:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится

Сделайте новый лог virusinfo_syscheck.zip
28.11.2009, 21:11
Emty0

.
28.11.2009, 21:20
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\uidrunsrv.dll','');
QuarantineFile('E:\WINDOWS\system32\WHsdfda.exe','');
DeleteService('MasdSsdfy');
QuarantineFile('E:\WINDOWS\system32\regedit32.exe','');
DeleteService('BackGround Switch');
SetServiceStart('SqlDebuger', 4);
DeleteService('SqlDebuger');
SetServiceStart('grags', 4);
SetServiceStart('gs', 4);
SetServiceStart('NetActivator', 4);
SetServiceStart('refrvxx', 4);
DeleteService('refrvxx');
DeleteService('NetActivator');
DeleteService('gs');
DeleteService('grags');
SetServiceStart('fresg', 4);
DeleteService('fresg');
SetServiceStart('fewaf', 4);
DeleteService('fewaf');
SetServiceStart('fen', 4);
DeleteService('fen');
QuarantineFile('e:\docume~1\alluse~1\applic~1\storm\update\pryhd.dll','');
TerminateProcessByName('e:\windows\system32\z\sqlserv.exe');
QuarantineFile('e:\windows\system32\z\sqlserv.exe','');
TerminateProcessByName('e:\windows\system32\netactivator\smss.exe');
QuarantineFile('e:\windows\system32\netactivator\smss.exe','');
TerminateProcessByName('e:\windows\rgrevxx.exe');
QuarantineFile('e:\windows\rgrevxx.exe','');
TerminateProcessByName('e:\windows\system32\osmg.exe');
QuarantineFile('e:\windows\system32\osmg.exe','');
TerminateProcessByName('e:\windows\system32\z\j001.exe');
QuarantineFile('e:\windows\system32\z\j001.exe','');
TerminateProcessByName('e:\windows\system32\z\i.exe');
QuarantineFile('e:\windows\system32\z\i.exe','');
TerminateProcessByName('e:\windows\system32\gc.exe');
QuarantineFile('e:\windows\system32\gc.exe','');
TerminateProcessByName('e:\windows\system32\z\g001.exe');
QuarantineFile('e:\windows\system32\z\g001.exe','');
TerminateProcessByName('e:\windows\atidfe.exe');
QuarantineFile('e:\windows\atidfe.exe','');
DeleteFile('e:\windows\atidfe.exe');
DeleteFile('e:\windows\system32\z\g001.exe');
DeleteFile('e:\windows\system32\gc.exe');
DeleteFile('e:\windows\system32\z\i.exe');
DeleteFile('e:\windows\system32\z\j001.exe');
DeleteFile('e:\windows\system32\osmg.exe');
DeleteFile('e:\windows\rgrevxx.exe');
DeleteFile('e:\windows\system32\netactivator\smss.exe');
DeleteFile('e:\windows\system32\z\sqlserv.exe');
DeleteFile('E:\WINDOWS\system32\regedit32.exe');
DeleteFile('E:\WINDOWS\system32\WHsdfda.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
28.11.2009, 22:59
Emty0

Вот
28.11.2009, 23:49
thyrex

Выполните скрипт в AVZ
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('e:\windows\system32\netactivator\smss.exe');
TerminateProcessByName('e:\windows\rgrevxx.exe');
TerminateProcessByName('e:\windows\system32\keym.exe');
TerminateProcessByName('e:\windows\system32\ai24p9ymd5\j001.exe');
TerminateProcessByName('e:\windows\atidfe.exe');
TerminateProcessByName('e:\windows\system32\ai24p9ymd5\i.exe');
TerminateProcessByName('e:\windows\system32\ai24p9ymd5\g001.exe');
QuarantineFile('E:\WINDOWS\system32\Drivers\SDbgMsg.sys','');
QuarantineFile('e:\docume~1\alluse~1\applic~1\storm\update\pryhd.dll','');
QuarantineFile('e:\windows\system32\uidrunsrv.dll','');
QuarantineFile('E:\WINDOWS\System32\uidlogsrv.dll','');
QuarantineFile('E:\WINDOWS\system32\AI24P9YMD5\I.exe','');
QuarantineFile('E:\WINDOWS\system32\AI24P9YMD5\J001.exe','');
QuarantineFile('E:\WINDOWS\system32\AI24P9YMD5\G001.exe','');
QuarantineFile('E:\WINDOWS\system32\keym.exe','');
SetServiceStart('refrvxx', 4);
DeleteService('refrvxx');
SetServiceStart('NetActivator', 4);
DeleteService('NetActivator');
SetServiceStart('gs', 4);
DeleteService('gs');
SetServiceStart('grags', 4);
DeleteService('grags');
SetServiceStart('fresg', 4);
DeleteService('fresg');
SetServiceStart('fewaf', 4);
DeleteService('fewaf');
SetServiceStart('fen', 4);
DeleteService('fen');
DeleteFile('E:\WINDOWS\rgrevxx.exe');
DeleteFile('E:\WINDOWS\System32\NetActivator\smss.exe');
DeleteFile('E:\WINDOWS\system32\keym.exe');
DeleteFile('E:\WINDOWS\system32\AI24P9YMD5\G001.exe');
DeleteFile('E:\WINDOWS\system32\AI24P9YMD5\J001.exe');
DeleteFile('E:\WINDOWS\system32\AI24P9YMD5\I.exe');
DeleteFile('E:\WINDOWS\Atidfe.exe');
DeleteFile('E:\WINDOWS\System32\uidlogsrv.dll');
DeleteFile('e:\windows\system32\uidrunsrv.dll');
DeleteFile('e:\docume~1\alluse~1\applic~1\storm\update\pryhd.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\UidSrv\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
01.12.2009, 17:52
Emty0

Вот, раньше небыло возможности провести проверку
01.12.2009, 20:45
thyrex

Выполните скрипт в AVZ
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\WINDOWS\system32\regedit32.exe','');
DeleteService('BackGround Switch');
QuarantineFile('E:\WINDOWS\system32\firefox.exe','');
QuarantineFile('E:\WINDOWS\system32\firefox2.exe','');
DeleteService('FireFox2');
DeleteService('FireFox');
QuarantineFile('E:\WINDOWS\system32\sdf.exe','');
DeleteService('gdgdfghd');
QuarantineFile('E:\WINDOWS\system32\WHsdfda.exe','');
DeleteService('MasdSsdfy');
QuarantineFile('E:\WINDOWS\system32\Windpdea.exe','');
QuarantineFile('E:\WINDOWS\system32\alb.exe','');
SetServiceStart('Remote_abs1126', 4);
DeleteService('Remote_abs1126');
SetServiceStart('Remote Switch', 4);
DeleteService('Remote Switch');
QuarantineFile('E:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('E:\WINDOWS\system32\sfaoeoa.exe','');
QuarantineFile('E:\WINDOWS\system32\cuhmpy.exe','');
QuarantineFile('E:\WINDOWS\system32\acpi24.ocx','');
QuarantineFile('E:\WINDOWS\system32\acpi24.dll','');
QuarantineFile('e:\documents and settings\local user\userdata.dll','');
QuarantineFile('e:\windows\sysmlong.scr','');
QuarantineFile('e:\docume~1\f414~1\c316~1\8f6e~1\evaclo~2.scr','');
DeleteFile('e:\documents and settings\local user\userdata.dll');
DeleteFile('E:\WINDOWS\system32\acpi24.ocx');
DeleteFile('E:\WINDOWS\system32\acpi24.dll');
DeleteFile('E:\WINDOWS\system32\cuhmpy.exe');
DeleteFile('E:\WINDOWS\system32\sfaoeoa.exe');
DeleteFile('E:\WINDOWS\system32\Windpdea.exe');
DeleteFile('E:\WINDOWS\system32\WHsdfda.exe');
DeleteFile('E:\WINDOWS\system32\sdf.exe');
DeleteFile('E:\WINDOWS\system32\firefox2.exe');
DeleteFile('E:\WINDOWS\system32\firefox.exe');
DeleteFile('E:\WINDOWS\system32\regedit32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\360svc\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог МВАМ
04.12.2009, 18:56
Emty0

[QUOTE] + лог МВАМ[/QUOTE]Это что?
04.12.2009, 19:23
snifer67

лог [url=http://virusinfo.info/showpost.php?p=493584&postcount=2]mbam [/url]
05.12.2009, 19:23
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]167[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\docume~1\alluse~1\applic~1\storm\update\pryhd.dll - [B]Trojan-PSW.Win32.Bjlog.dqy[/B] ( DrWEB: Adware.Baidu.1462, BitDefender: Backdoor.Generic.231694, NOD32: Win32/Redosdru.AR trojan, AVAST4: Win32:Trojan-gen )[*] e:\windows\atidfe.exe - [B]Trojan-Downloader.Win32.Ogran.dh[/B] ( DrWEB: BackDoor.ClDdos.9, AVAST4: Win32:Malware-gen )[*] e:\windows\rgrevxx.exe - [B]Trojan-Downloader.Win32.Ogran.dh[/B] ( DrWEB: BackDoor.ClDdos.9, NOD32: Win32/TrojanDownloader.Agent.PPK trojan, AVAST4: Win32:Malware-gen )[*] e:\windows\system32\ai24p9ymd5\g001.exe - [B]Trojan.Win32.Scar.arzw[/B] ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rootkit-gen [Rtk] )[*] e:\windows\system32\ai24p9ymd5\i.exe - [B]Trojan.Win32.Scar.arqj[/B] ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )[*] e:\windows\system32\ai24p9ymd5\j001.exe - [B]Trojan.Win32.Scar.asvh[/B] ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )[*] e:\windows\system32\keym.exe - [B]Trojan.Win32.Scar.atxr[/B] ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rootkit-gen [Rtk] )[*] e:\windows\system32\netactivator\smss.exe - [B]Backdoor.Win32.SdBot.pqv[/B] ( DrWEB: BackDoor.IRC.Sdbot.6670, AVAST4: Win32:Rootkit-gen [Rtk] )[*] e:\windows\system32\osmg.exe - [B]Trojan.Win32.Scar.atxr[/B] ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rootkit-gen [Rtk] )[*] e:\windows\system32\regedit32.exe - [B]Backdoor.Win32.DarkShell.dg[/B] ( DrWEB: Trojan.DownLoad.28073, BitDefender: Trojan.Generic.2776348, NOD32: Win32/AutoRun.Agent.TH worm, AVAST4: Win32:Malware-gen )[*] e:\windows\system32\sshnas.dll - [B]Packed.Win32.Krap.ag[/B] ( NOD32: Win32/TrojanDownloader.FakeAlert.APG trojan, AVAST4: Win32:Trojan-gen )[*] e:\windows\system32\uidlogsrv.dll - [B]Backdoor.Win32.Rbot.ahgx[/B] ( DrWEB: Win32.HLLW.MyBot.586, BitDefender: Trojan.Generic.CJ.AFLS, NOD32: Win32/Agent.QKN trojan, AVAST4: Win32:Malware-gen )[*] e:\windows\system32\uidrunsrv.dll - [B]Trojan-Downloader.Win32.FraudLoad.wwlx[/B] ( DrWEB: Trojan.DownLoad1.10707, BitDefender: DeepScan:Generic.Peed.9777D94A, NOD32: Win32/TrojanDownloader.Agent.PPY trojan, AVAST4: Win32:Tibs-ENJ [Trj] )[*] e:\windows\system32\whsdfda.exe - [B]Trojan-Downloader.Win32.Agent.cwfs[/B] ( DrWEB: BackDoor.Darkshell.96, BitDefender: Trojan.Generic.2770093, NOD32: Win32/Agent.NWM trojan, AVAST4: Win32:Agent-AERY [Trj] )[*] e:\windows\system32\z\g001.exe - [B]Trojan.Win32.Scar.arzw[/B] ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Rootkit-gen [Rtk] )[*] e:\windows\system32\z\i.exe - [B]Trojan.Win32.Scar.arqj[/B] ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )[*] e:\windows\system32\z\j001.exe - [B]Trojan.Win32.Scar.asvh[/B] ( DrWEB: Trojan.DownLoad.50456, BitDefender: Trojan.Rincux.AW, AVAST4: Win32:Malware-gen )[*] e:\windows\system32\z\sqlserv.exe - [B]Trojan-Downloader.MSIL.Small.h[/B] ( DrWEB: Trojan.DownLoad.49173, BitDefender: Trojan.Generic.2428622, NOD32: MSIL/TrojanDownloader.Small.B trojan, AVAST4: Win32:Trojan-gen )[*] e:\windows\wind7upd.exe - [B]Trojan.Win32.Buzus.cqjn[/B] ( DrWEB: BackDoor.IRC.Bot.157, BitDefender: Trojan.Generic.2791083, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]