Порнобаннер

**Depz** · 20.07.2010, 07:45

Здравствуйте
Словили порнобаннер. При загрузке компьютера открывалась страница файрфокса с ним, ни на какие действия не реагировал. Ctrl+Alt+Del не работает, пуск не нажимается, окошки не закрываются. Скачал новый drweb livecd, нашел 2 порнобаннера, удалил. Теперь при запуске винды она проходит приветствие и останавливается, при нажатии Ctrl+Alt+Del говорит что эта функция отключена администратором. При попытке загрузиться в безопасном режиме падает в бсод. ERD Commander 2005 не видит диска, другие livecd не видят установленной винды, но диски видят, реестр подключать отказываются.

Посоветуйте что делать ?
Заранее благодарен.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Depz** · 20.07.2010, 08:58

Загрузился в виндовс, открыл специальные возможности, запустил AVZ, стандартными скриптами разрешил запуск диспетчера задач. Просканировал, сделал логи, выкладываю

**polword** · 20.07.2010, 09:24

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

F2 - REG:system.ini: Shell=C:\Documents and Settings\Admin\Рабочий стол\Новая папка (3)\vip_porno_22555.avi.exe

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\admin\рабочий стол\новая папка (3)\vip_porno_22555.avi.exe','');
 DeleteFile('c:\documents and settings\admin\рабочий стол\новая папка (3)\vip_porno_22555.avi.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

**Depz** · 20.07.2010, 09:52

После лечения HijackThis, появился рабочий стол. Антивирус тоже запустился, вроде все работает. Файл карантина пустой, попробовал загрузить, говорит "Ошибка загрузки. Данный файл уже был загружен".

**polword** · 20.07.2010, 10:20

В логах подозрительного нет.

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении.

**Depz** · 20.07.2010, 12:36

Все сделал как написали. Нашло 8 уязвимостей, все установил, запустил еще раз - лог пустой.

Спасибо огромное за помощь

Порнобаннер (заявка № 83422)

Опции темы