-
Junior Member
- Вес репутации
- 53
Еще черный порнобаннер
Та жа история.
Черный порнобаннер: "Рекламная панель устанавливается только при посещении нашего сайта ....ru"
Отправьте СМС с кодом М21620008 на номер 3649
При запуске любых .exe файлов вылезает баннер или начинается перезагрузка. AVZ не запускается, расширение и название менял.
Удалось получить логи через HijackThis
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe mtutqw
O1 - Hosts: 91.206.201.30 vkontakte.ru
O1 - Hosts: 91.206.201.30 www.vkontakte.ru
O1 - Hosts: 91.206.201.30 www.odnoklassniki.ru
O1 - Hosts: 91.206.201.30 odnoklassniki.ru
O1 - Hosts: 91.206.201.30 vk.com
O1 - Hosts: 91.206.201.30 www.vk.com
O1 - Hosts: 91.206.201.30 my.mail.ru
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [Microsoft Internet Agent] c:\windows\system32\winagent.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\cSFUN.dll
Перезагрузите компьютер.
После этого дожна запуститься AVZ - сделайте все логи по правилам.
-
-
Junior Member
- Вес репутации
- 53
Спасибо! Логи в процессе сборки.
P.S. Получилось противостоять принудительным перезагрузкам системы. Нужно создать Excel или Word файл и написать пару символов в них Система не выключится пока не сохранишь файлы.
Также открытие свойств обозревателя закрывает порнобаннер
Последний раз редактировалось Volgarik; 01.12.2009 в 02:57.
-
Junior Member
- Вес репутации
- 53
логи.
Спасибо за помощь!!!
спать....
-
1) Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('I:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('c:\windows\system32\winagent.exe','');
QuarantineFile('C:\WINDOWS\system32\cSFUN.dll','');
DeleteFile('I:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('c:\windows\system32\winagent.exe');
DeleteFile('C:\WINDOWS\system32\cSFUN.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Сделайте новый лог virusinfo_syscheck.zip.
-
-
Junior Member
- Вес репутации
- 53
Файлы в карантине переименовались ДокторВебом.
Вечером выполню инструкции.
-
Junior Member
- Вес репутации
- 53
Запрошенный лог прилагаю.
Архив карантина отправлен.
-
Плохого не видно. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Ох, простите! Так обрадовался помощи, что забыл отчитаться.
Всё отлично! после первой чистки HijackThis все заработало!
-
Установите SP3 (может потребоваться активация) + все новые заплатки
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\csfun.dll - Trojan-Ransom.Win32.SMSer.td ( DrWEB: Trojan.BrowseBan.128, NOD32: Win32/AutoRun.Delf.EL worm )
- c:\windows\system32\winagent.exe - Backdoor.Win32.Buterat.aq ( DrWEB: Trojan.Click.31902, BitDefender: Worm.Generic.103345, NOD32: Win32/Kryptik.BHG trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- i:\autorun.inf - Trojan.Win32.AutoRun.oc ( BitDefender: Trojan.AutorunINF.Gen )
-