Порно-банер

Printable View

18.05.2010, 15:37
Jul

Порно-банер

Скачала мини-игру, после перезагрузки у меня появилось окно с порнорекламой на весь рабочий стол, просят отправить смс. Диспетчер задач заблокирован,безопасный режим не вкючается,время перевести тоже невозможно, пишет: восстановление системы откючено групповой политикой… Я в шоке! что делать? :O
18.05.2010, 15:47
DefesT

программы запускаются какие-нибудь? какой номер и текст смс?
18.05.2010, 15:49
thyrex

СМС на номер 3381?
18.05.2010, 19:41
Jul

Я только что в соседней теме прочитала совет набрать код 279346830. Сработало! Банер вроде исчез, :clapping: сейчас попробую файлы выслать. Спасибо!

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

да, на 3381

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 49 минут[/I][/B][/color][/size]

не могу скачать ни одну программу, чтобы прислать вам файлы, вылезает табличка - "Соединение сброшено". Это из-за того, что запросов много и нужно подождать или из-за вирусов?
18.05.2010, 20:11
DefesT

[url]http://gjf.hotbox.ru/mink.pif[/url] - такой AVZ попробуйте
18.05.2010, 20:20
Jul

Спасибо, а как быть с HiJackThis и CureIt! ?
18.05.2010, 20:22
DefesT

CureIT нам не нужен. Давайте пока без hijacka. делайте логи AVZ
18.05.2010, 20:51
Jul

вот...
18.05.2010, 21:01
DefesT

Отключите компьютер от интернета, а также [URL="http://virusinfo.info/showthread.php?t=57441"]отключите[/URL] [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
QuarantineFile('\\?\globalroot\systemroot\system32\lTeaCjy.exe','');
QuarantineFile('C:\WINDOWS\system32\3fa6837f.exe','');
DeleteFile('C:\WINDOWS\system32\3fa6837f.exe');
DeleteFile('\\?\globalroot\systemroot\system32\lTeaCjy.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам обычным avz (с обновленными базами) + лог hijack
п.с. напишите в личное сообщение откуда скачали мини-игру
18.05.2010, 21:32
Jul

Скрипт выполнила. А где взять этот карантин? :O
18.05.2010, 21:36
DefesT

Выполните скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите файл quarantine.zip из директории avz, используя ссылку вверху темы
18.05.2010, 22:32
Jul

что-то у меня не получается лог HijackThis. Нажала на кнопку "Do a system scan and save a logfile" А как сохранить лог? У меня только файл txt есть, который я могу сохранить...
18.05.2010, 22:38
DefesT

да давайте что есть

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

выполните скрипт в AVZ:
[CODE]begin
ClearHostsFile;
end.[/CODE]
больше плохого не вижу
18.05.2010, 22:40
Jul

а, вот он
18.05.2010, 22:41
DefesT

Поищите еще в этих папках файлы с расширением ".exe" с бредовым или необычным названием
[QUOTE]C:\Documents and Settings\Пётр\Local Settings\Temp\
C:\WINDOWS\Temp\[/QUOTE]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: (no name) - - (no file)
[/CODE]
18.05.2010, 23:02
Jul

Большое и огромнейшее спасибо за помощь!!!!!! :>

[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]

файлов .exe вроде не видно...
19.05.2010, 01:03
thyrex

Лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url] сделайте
19.05.2010, 17:32
Jul

Извините, а как выключить firewall?
19.05.2010, 23:01
thyrex

Файрволлы сторонних производителей устанавливали? Если нет, тогда только Панель управления - Брандмауэр Windows
А дальше разберетесь
26.05.2010, 15:59
Jul

Оказывается, он и так был у меня выключен... :? Вот лог. Я сегодня сделала быструю проверку антивирусом, у меня 36 зараженных файлов, вылечить невозможно ((((( Оставила пока все, как есть...
26.05.2010, 22:58
Jul

посмотрите, пожалуйста, мою тему
27.05.2010, 00:40
thyrex

А кто запрашивал лог mbr???
27.05.2010, 09:31
Jul

нашла
27.05.2010, 14:13
thyrex

Добиваем остатки

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\DbXZYLt.exe','');
DeleteFile('c:\windows\system32\DbXZYLt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
27.05.2010, 14:48
Jul

все сделала
29.05.2010, 11:43
AndreyKa

Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
30.05.2010, 11:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\dbxzylt.exe - [B]Trojan.Win32.Inject.apqd[/B] ( DrWEB: Trojan.PWS.Ibank.39, BitDefender: Trojan.Generic.4023488, NOD32: Win32/Spy.Shiz.NAL trojan )[*] \\?\globalroot\systemroot\system32\lteacjy.exe - [B]Trojan-Dropper.Win32.Shiz.co[/B] ( DrWEB: Trojan.Packed.20032, BitDefender: Trojan.Generic.3890317 )[/LIST][/LIST]