-
Junior Member
- Вес репутации
- 60
порнобанер - смс на 8353
Доброго времени суток!
У друзей на ноутбуке выскочил порнобаннер с предложением отправить смс на номер 8353. Деблокиратор на сайте Касперского не помог.
Почитал аналогичные темы в разделе "Помогите".
Проверил в безопасном режиме ветку реестра.
Подправил, удалив из ключа Shell имя файла "c:\programm files\common files\services.exe". Баннер ушел.
Файл поместил в архив virus.zip.
Провел сбор информации avz@hjThis.
Логи прилагаю.
Прошу помощи в проверке после лечения.
Файл сохранён как 100705_223746_virus_4c32267a982b0.zip
Размер файла 163345
MD5 858fdd1fd514e6a76b940364cd8044da
Последний раз редактировалось -Алексей-; 13.09.2010 в 20:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы! См. Приложение 1 Правил.
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\Documents and Settings\23\.exe','');
QuarantineFile('C:\Documents and Settings\ааа\.exe','');
DeleteFile('C:\Documents and Settings\ааа\.exe');
DeleteFile('C:\Documents and Settings\23\.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новые логи AVZ и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 60
Карантин загружен.
Файл сохранён как 100705_235150_virus_4c3237d69229e.zip
Размер файла 284877
MD5 907f0e34e72de5579d5dda6b8073fea2
Логи обновлены.
Последний раз редактировалось -Алексей-; 13.09.2010 в 20:31.
-
Пофиксте в HijackThis строку:
F2 - REG:system.ini: UserInit=c:\WINDOWS\system32\userinit.exe
В остальном чисто.
-
-
Junior Member
- Вес репутации
- 60
Спасибо большое за помощь!
Интересно, в последнем карантине что-нибудь интересное было?
-
C:\Documents and Settings\ааа\.exe - Trojan.Win32.Jorik.Shiz.ac
C:\Documents and Settings\23\.exe - Trojan-Ransom.Win32.PinkBlocker.byw
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\ааа\.exe - Trojan.Win32.Jorik.Shiz.ac ( DrWEB: Trojan.Siggen1.60968, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\documents and settings\23\.exe - Trojan-Ransom.Win32.PinkBlocker.byw ( DrWEB: Trojan.Winlock.2061, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\program files\common files\services\services.exe - Packed.Win32.Krap.hm ( DrWEB: Trojan.Packed.20343, NOD32: Win32/LockScreen.UT trojan, AVAST4: Win32:Malware-gen )
-