Помогите избавиться от розового баннера!

[Elena A]

Поймала порно баннер (еще в январе) с просьбой отправить SMS на номер 2474 с текстом 3451.На этом форуме я в первый раз, и, честно говоря, в борьбе с вирусами тоже новичок. Подскажите, пожалуйста, как от него избавиться? Заранее большое СПАСИБО.

[CyberHelper]

1. Пожалуйста, выполните скрипт AVZ:

Код:

begin
 QuarantineFile('logon.scr', 'CHQ=N');
 QuarantineFile('mnmdd.sys', 'CHQ=N');
 QuarantineFile('spkm.sys', 'CHQ=N');
 QuarantineFile('wininet.dll', 'CHQ=N');
 QuarantineFile('C:\Program Files\plugin.exe', 'CHQ=S');
 ExecuteWizard('TSW', 3, 3, true);
end.

2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean

[polword]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Program Files\plugin.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
 DeleteFile('C:\Program Files\plugin.exe');
 BC_ImportAll;
 ExecuteSysClean;
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[Elena A]

Здравствуйте! Выполнила все действия, которые вы сказали, и высылаю Вам Карантин. И, кажется, его больше нет. Подключила Интернет (баннер его блокировал). Большое спасибо!!! Только есть вопросы:
1. Значит ли это что вируса больше нет? Или он просто помещен в Карантин, а лечение все впереди?
2. Что мне делать с Восстановлением системы? Обратно включить?
3. И как поступать в дальнейшем, если я хочу что-нибудь скачать из Интернета? Заходить как Гость, а не как Админ?

[PavelA]

Заходить как Гость, а не как Админ?

Ну, Гость это слишком. Можно просто пользователя с ограниченными правами
создать.

[Elena A]

Здравствуйте! Выполнила все действия, которые вы сказали, и высылаю Вам Карантин. И, кажется, его больше нет. Подключила Интернет (баннер его блокировал). Большое спасибо!!! Только есть вопросы:
1. Значит ли это что вируса больше нет? Или он просто помещен в Карантин, а лечение все впереди?
2. Что мне делать с Восстановлением системы? Обратно включить?
3. И как поступать в дальнейшем, если я хочу что-нибудь скачать из Интернета? Заходить как Гость, а не как Админ?

[PavelA]

Логи надо делать в нормальном режиме.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены