Порно-баннер

**realnitro** · 08.12.2009, 11:47

Порно-баннер на весь екран (3 картинки, снизу - смс), не работает AVZ(при его запуске как раз и появляется баннер) , отключен nod32. hijackthis запустился только после переименования.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 08.12.2009, 12:05

Здравствуйте,

-Пофиксите:

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\mLrgT.dll
O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)

- Перегрузите систему.
- Сделайте в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

**realnitro** · 08.12.2009, 12:28

прикрепил логи

**Bratez** · 08.12.2009, 13:26

Скачайте AVZ версии 4.32 и обновите ее базы!

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\mLrgT.dll','');
 QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
 DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
 DeleteFile('C:\WINDOWS\system32\mLrgT.dll');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=62856).
Сделайте новые логи.

**realnitro** · 08.12.2009, 13:56

карантин отослал, прикрепил логи

**Shu_b** · 08.12.2009, 14:18

Сообщение от realnitro

карантин отослал

А точно тот карантин отослали? Сделайте пожалуйста так, как написано в приложении 3 правил.

**Bratez** · 08.12.2009, 14:20

В логах ничего плохого не видно, но:

Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30

Все-таки настоятельно рекомендуется сделать логи актуальной версией с обновленными базами. Иначе уверенности в чистоте не так много, как хотелось бы.

**realnitro** · 08.12.2009, 15:17

Сообщение от Shu_b

А точно тот карантин отослали? Сделайте пожалуйста так, как написано в приложении 3 правил.

скачал новый AVZ, обновил базы, карантин пуст.

новые логи прикрепил

**snifer67** · 08.12.2009, 15:27

Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118

**realnitro** · 08.12.2009, 15:57

готово

**Bratez** · 08.12.2009, 16:09

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ctmnbjg.dll','');
DeleteFile('C:\WINDOWS\system32\ctmnbjg.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wtaytsyb');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\wtaytsyb');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\wtaytsyb\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\wtaytsyb\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\wtaytsyb');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\wtaytsyb');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\zzbnwlfd');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\zzbnwlfd');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\zzbnwlfd\Parameters');
RegKeyResetSecurity('HKLM', 'SYSTEM\ControlSet002\Services\zzbnwlfd\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\zzbnwlfd');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\zzbnwlfd');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если окажется не пуст
(загружать тут: http://virusinfo.info/upload_virus.php?tid=62856).

Повторите лог gmer.

**realnitro** · 08.12.2009, 16:30

карантин отправил, лог прикрепил

**thyrex** · 08.12.2009, 17:20

В логе чисто.

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8

**realnitro** · 08.12.2009, 17:21

Ок, так и сделаю.
Большое спасибо всем за помощь!

**CyberHelper** · 09.12.2009, 17:21

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 13
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\mlrgt.dll - Trojan-Ransom.Win32.SMSer.su ( DrWEB: Trojan.Winlock.499, BitDefender: Trojan.Generic.2807377, NOD32: Win32/Agent.QJZ trojan, AVAST4: Win32:Malware-gen )
2. c:\windows\system32\overlapp32.dll - Trojan-Banker.Win32.Delf.ap ( DrWEB: Trojan.KeyLogger.4260, BitDefender: Trojan.Generic.2756456, NOD32: Win32/Spy.Delf.OAH trojan, AVAST4: Win32:Malware-gen )
3. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.aaxj ( DrWEB: Trojan.PWS.Panda.171, BitDefender: Trojan.Generic.CJ.SMN, NOD32: Win32/Spy.Zbot.JF trojan, AVAST4: Win32:Spyware-gen [Spy] )
4. \mediacodec.exe - Trojan.Win32.Buzus.csuc

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Порно-баннер (заявка № 62856)

Опции темы

Порно-баннер

Антивирусная помощь

Итог лечения

Похожие темы

Порно баннер

порно баннер

Порно баннер

Порно-баннер

порно баннер в IE

Ваши права в разделе