Розовый порнобанер (похоже из новых)

**Blumella** · 31.03.2010, 21:07

Добрый вечер!Поймала вчера дрянь, о который раньше только слышала.Постараюсь описать ситуацию максимально подробно, так как не знаю, что важно, а что нет.У меня ноутбук Asus, с установленной Windows Vista Home Basic x32, Антивирус Касперского 2010. Вчера, днем, во время серфинга в И-нете (никаких хакерских сайтов и порнушных не посещала), Касперский обнаружил троян Backboor. Win32.Hodprot.dz. и заблокировал его. Ничего необычно не происходило. Ночью выключила ноут и спокойно легла спать. Сегодня влючаю и оп-ля, передо мной розовое окшко с голыми дамочками и текстом (неточно, а цифры все точные): "Вы установили банер нашего сайта. Он исчезнет через 3 дня. Если хотитите убрать его немедленно отправьте СМС с текстом аа75029 на номер 8353"Разумеется, никакого СМС я отправлять не собиралась. Выйти в Интернет было не возможно, восстановление системы и прочие служебные программы не работали. Я просканировала компьютер антивирусом (дата выпуска баз - 31.03.2010. - 0:13:00).У меня еще есть стационарный комп и проблему я пришла решать сюда. На сайте Лаборатории Касперского здесь написала, номер телефона и текст СМС http://support.kaspersky.ru/viruses/deblocker , выдали несколько кодов разблокировки, не подошло, все время писали "Неверный код", и только на один 8624763341 это порноокошко выдавало фразу "Access file denied".Вобщем перезагрузилась я в безопасном режиме (перезагрузиться обычным способом было нельзя) и выставила системное время на 3 апреля, нашла подозрительный файл, лежал в папке VistaOS- Пользователи, назывался system.exe, время его создания соответствовало времени поимки вышеуказанно трояна. Просканировала систему Dr. Web CureIt! . Чисто. Перезагрузилась в обычном режиме, окно исчезло. Что именно помогло из того что я сделала, точно не знаю, но боюсь, что вирус все же наследил у меня в системе.Далее выполнила все, что написано в топике "Правила..". Полученные файлы прикрепляю.P.S. Заранее большое спасибо за помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 31.03.2010, 21:18

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
 DeleteFile('C:\Users\systems.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите лог virusinfo_syscheck.