-
Junior Member
- Вес репутации
- 59
помогите преодолеть вирус
Здравствуйте уважаемые хелперы.
Ситуация следующая у меня в офисе на компьютере ... не установлено ни одно антивирусное программное заберпечення назад подцепил заразу.
Через некоторое время выскакивает белое окно на котором размещены порно товары с просьбой их купить и ссылка если я хочу отказаться от подписки рекламы то оплатить через СМС ....
Если нажать закрыть окно то оно через 60с. закрывается ... в диспетчере видно название CMedia запущена программа ... такой программы я неставив.
Помогите ...
Последний раз редактировалось biznesoft; 29.09.2010 в 15:17.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Восстановление системы: включено -- Надо отключить.
Добавлено через 4 минуты
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-18\Dc50330.com','');
QuarantineFile('C:\RECYCLER\S-1-5-18\Dc50329.com','');
DelCLSID('6B830884-20E3-4AB6-B672-2629F0F72071');
DelCLSID('6D125299-C2A9-4DBC-BEC3-6F7124E39A41');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\RECYCLER\S-1-5-18\Dc50329.com');
DeleteFile('C:\RECYCLER\S-1-5-18\Dc50330.com');
DeleteFile('C:\RECYCLER\S-1-5-18\Dc51715.com');
DeleteFile('C:\RECYCLER\S-1-5-18\Dc53181.exe');
DeleteFile('C:\RECYCLER\S-1-5-18\Dc55187.dll');
DeleteFile('C:\RECYCLER\S-1-5-18\Dc55569.com');
DeleteFile('C:\RECYCLER\S-1-5-18\Dc70455.com');
DeleteFile('C:\RECYCLER\S-1-5-18\Dc70456.com');
DeleteFile('C:\RECYCLER\S-1-5-21-1343024091-602162358-1417001333-1004\Dc27.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи.
Последний раз редактировалось PavelA; 18.01.2010 в 13:13.
Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось biznesoft; 29.09.2010 в 15:17.
-
карантин надо тоже было загрузить через красную ссылку.
Лог Гмера тоже надо сделать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Карантин добавил... вчера.
вот лог джимера!
баннер больше не появлялся с предложением купить товар, за ето спасибо!
-
Сейчас в другом месте работаю, вечером пришлю скрипт для лечения.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
-
Junior Member
- Вес репутации
- 59
Думаю тему можно закрыть....
Вируса нет ... Вам за ето спасибо.... банер больше не выпрыгивает. )))
-
Может добьем мусор? А то мешать работать будет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Хорошо давайте...
жду указаний в скрипте...
-
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
BC_ServiceKill('pahro');
BC_Activate;
Rebootwindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
скрипт выполнил сейчас сделаю ЛОГ файлы.
Последний раз редактировалось pig; 03.02.2010 в 05:26.
Причина: карантин в теме - моветон
-
Junior Member
- Вес репутации
- 59
Жду указаний... вроде чисто!
Видимых проблем нету.
-
Все, что хотели удалилось
Можно поправить в Мастер поиска и устранения проблем
>> Заблокирован пункт меню Справка и техподдержка
Если есть возможность, выполните указания из первого сообщения вот этой темы:
http://virusinfo.info/showthread.php?t=3519
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Большое спасибо.
Сбор файлов произведу потом...
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 31
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\application data\cmedia\cmedia.dll - not-a-virus:AdWare.Win32.FearAds.ye
- c:\docume~1\admin\applic~1\fieryads\fieryads.dll - not-a-virus:AdWare.Win32.FearAds.ay ( DrWEB: Adware.FieryAds.22, BitDefender: Gen:Adware.Heur.OO8aReKanVBk, AVAST4: Win32:FieryAds [Adw] )
- c:\recycler\s-1-5-21-1343024091-602162358-1417001333-1004\dc27.dll - Trojan-Ransom.Win32.Dummy.a ( DrWEB: Trojan.Siggen.32676, NOD32: Win32/LockScreen.DB trojan, AVAST4: Win32:Ransom-N [Trj] )
-