Порно Информер с 3pic, последствия прибытия трояна

[EMZ1T]

И снова здраствуйте

Сегодня, 2 мая, ночью подцепил на свою голову и жесткий диск желтый порноинформер, гласящий и приносящий мне благодарность за то, что я установил его на компьютер и поясняющий, что если я желаю выпроводить его туда, откуда он взялся - я должен отправить смс с тектом 1101024 на номер 5121, смс придется отправлять 2 штуки.

Баннер был здоровенный и перекрывал окошки устанавливающихся антивирусных программ/утилиток, сильно мешал работать

Моими первыми действиями по удалению стал заход в интернет, на этот сайт,отсюда - на сайт доктор веба, к деактиватору смс вымогателей.


Оперу и Фаервокс мне весьма учтиво баннер отключил, пришлось через ВК-лайф лезть.

тогда у меня случился синий экран смерти
после перезагрузки интернет перестал работать - при кликании на ярлычок его запуска ничего не происходило.

попробовал поиграть с датами в биосе - на месяц раньше, позже - не помогло
пробовал провеси восстановление системы - при повторной загрузке возникало сообщение, что восстановление не удалось.

Начал проверку Доктором Вебом, с ходу нашел и грохнул какой то троян
но это оказался не информер, который при длительном сканировании антивирусом запускал мне синий экран и перезагрузку.
пробовал в авз мониторить процессы и подозрительные убивать - 0 эффекта.
диспетчер задач не включался.

AVZ так ничеговразумительного мне и не дало, но все эти программы антивирусные/антируткитные запускались, но через какое то время - синий экран.

Создал вторую учетную запись, зашел, информера нет и в помине, так же, как и возможностей администратора и большей части программ

в итоге дал этой учетной записи права админа,баннер не всплывал при включении, создал в настройках сети новое подключение к интернету, погуглил на наличие кода к информеру, на сайте касперского/веба/вирус инфо, мне, на мои 5121/1101024 выдавал один и тот же код разблокировки - 8765327868, который при заходе в первую учетную запись естественно не сработал.

почитав дальше интернет и попробовав множество спосов нашел таки действенный - адрес C:\Documents and Settings\All Users, включить показ скрытых файлов и папок, безжалостно удалить скрытый файл system, перезагрузить компьютер.

все сразу исчезло, пишу с администраторской учетной записи.

есть подозрения на оставшиеся в тылу части информера, не хочу возвращения трояна.

прикладываю необходимое, лог ГМЕР ссылается на отсуствие какого то компонента:

[thyrex]

В логах видны следы от компонентов ComboFix. Почему не удалили его?

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
 DeleteFile('C:\Documents and Settings\All Users\systems.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
 DeleteFile('C:\System Volume Information\_restore{03684863-AA60-4F76-A4E5-05E4618AE7E1}\RP79\A0076775.com');
 DeleteFile('C:\System Volume Information\_restore{03684863-AA60-4F76-A4E5-05E4618AE7E1}\RP80\A0087759.com');
 DeleteFile('C:\System Volume Information\_restore{03684863-AA60-4F76-A4E5-05E4618AE7E1}\RP80\A0087793.com');
 DeleteFile('C:\System Volume Information\_restore{03684863-AA60-4F76-A4E5-05E4618AE7E1}\RP80\A0087832.com');
 DeleteFile('C:\System Volume Information\_restore{03684863-AA60-4F76-A4E5-05E4618AE7E1}\RP80\A0089078.com');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин (если не будет пустым) согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[EMZ1T]

все выполнил

[thyrex]

Плохого не видно

[EMZ1T]

спасибо за помощь

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены