pcprivacycleanerpro

[dlenacsm]

При запуске компьютера в трее появвляется желтый треугольник с предупреждением на английском о том что компьтер заражен и нужно нажать чтоб вылечить. ессно - злодеи наколоть хотят. при запуске интернет эксплорера помимо стартовой страницы открывается страница pcprivacycleanerpro.com очень ловко замаскированная под системные окна виндовс которая всей своей поверхностью - одна большая ссылка на скачку экзешника с аналогичным названием. нодом и куритом не лечится. все сделал по инструкции. ну и скорее всего и еще чтонибудь будет, никуда от этого зла не дется. прошу помочь

[Bratez]

Отключите восстановление системы!
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\brasdbgz.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\brasdbgz.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 2 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=33080).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[dlenacsm]

Карантин отправил, логи здесь. Только этот гад? больше нет?

[Гриша]

В логах чисто...

[dlenacsm]

на праздниках вроде все нормально было, а сегодня опять после перезагрузки сообщение из трея на англ-ом типа внимание нажмите для деталей. и загружается сайт который говорит что камп заражен, скачайте нашу прогу и будет вам счастье... только название сменилось теперь это pcvirusmover2008. сделал снова логи посмотрите плиз

[Гриша]

Сделайте полную проверку CureIT и повторите логи...

[dlenacsm]

Здравствуйте. Закачал свежий Курит. Оставил работать на ночь (восстановление системы отключил). Сегодня посмотрел результаты. Курит нашел один вирус в папке документс и сеттингс/пользователь. после проверки перед запуском АВЗ в соответствии с инструкцией запустил интернет эксплорер - снова появилось желтенькое сообщение из трея и запустился сайт //pcprivacycleanerpro.com/2009/103/?a=swdark&l=6253&f=pp_2541574736&ax=1&ex=1&ed=2&h= 10&mt_info=6175_0_27396&rdr=1. предложил много раз скчать и запустить свой гадостный файл. отказался. запустил 3-й скрипт АВЗ. выпонил (правда забыл вырубить инет - сильно кретично?). После скрипта перезагрузился. автоматом после перезагрузки обновился НОД32 и засек в систем 32 вирус с названием podhukha или что то в этом роде. удалил его после этого сделал 2-ой скрипт АВЗ и хиджяксис. логи во вложении. очень жду помощи. извините за очепятки неграмотные, сильно спешил в наборе.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine;       
 QuarantineFile('C:\WINDOWS\system32\btde.dll','');
end.

Загрузите карантин...

[dlenacsm]

здравствуйте, Григорий
спасибо, что ответили. 3-й раз мне помагаете, на этот раз ждали так долго мои друзья уже шутить начали, типа фигня твой сайт забили они на тебя, а я им: надо ждать - все будет гуд.
теперь по делу при выполнении вашего скрипта ответ АВЗ
"Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\btde.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\btde.dll)
Карантин с использованием прямого чтения - "
карантин соответственно пустой
что супер злое поймал. вроде все по вашей бибилии сделал: отключил автозапуск носителей, ненужные службы, только профиль не стал делать юзеровский, похоже придется и это сделать? жду помощи

[Гриша]

Ручками его здесь поищите C:\WINDOWS\system32\btde.dll, найдете в архив под пароль "virus" и прислать...

[dlenacsm]

Нашел только файл Btdtev.dll (искал через стандартный проводник, у меня скрытые файлы открфты в нем) не нашел как поставить пароль в своем винраре, поэтому просто создал файл с именем virus.zip и отправил его на ссулку указанную вверху этой ветки (прислать запрошенный карантин) на карантин

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{49976345-DBFD-40A7-9665-D032C231C4FD}');
 DeleteFile('C:\WINDOWS\system32\btde.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

[dlenacsm]

Гриш (не чего что так панибратски - это же ваш ник), я наверно туплю что запутался в инструкциях, после скрипта машина перезагрузилась. нужно снова выполнить скрипт 3 и скрипт 2 АВЗ и Хиджяксис или просто после перезагрузки прислать срипты (пардон не скрипты а логи)? извините за тупость. здесь я не профи. вот если авиабилеты поэффективней - ко мне милости прошу - дам совет

Добавлено через 27 минут

после этого сообщения абсолютно неожиданно пропал контакт с интернет (если честно то я обоср..ся по-полной), потом также неожиданно появился. может это были проблемы у провайдера - но считаю своим долгом сообщить

Добавлено через 35 минут

И еще проги тупят, пока ждали вашего ответа, жена попробовала Баблшутер, и пасьянс паук, тормозит жестко. как сказала жена, крупье в казино быстрей раздает (шутка). очень жду рекомендаций как же все таки произвести процедурвы перед отправкой логов?

[Гриша]

Загрузите свежие логи...

[dlenacsm]

Выполнил все согласно инструкции:
1. выгрузил все проги из трея. вырубил интернет, запустил 3 скрипт АВЗ
2. перезагрузил машинуну (на этот раз НОД Ничего не нашел) выгрузил все программы из трея, (интернет на этот раз включен) запустил 2 СКРИПТ АВЗ, запустил Хиджяксис,
3. логи прилагаю

[Гриша]

Проблема по-прежнему актуальна?

[dlenacsm]

я...... не...знаю... а что вы видите? не я ведь спец по злодеям.... после двух перезагрузок ничего не беспокоило... можно успокоится?

[Гриша]

Я ничего не вижу, потому и спросил

[dlenacsm]

спасибо. я попытался сделать "Сделай доброе дело" но там все так замелькало когда я нажал на свинью. я вырубил ссылку. у меня нет кошельков, поэтому я обрашусь к anton_dr. очень хочу вам помочь. надеюсь эти слухи про личителей компов=писателей вирусов просто гон. очень Вам Григорий благодарен

[Гриша]

Конечно вранье, не верьте тому, что на заборе написано