Показано с 1 по 10 из 10.

Вы просматривали гей-порно-видео. Для оплаты услуги и удаления данного сообщения отправьте SMS с текстом 503741002193 на номер 6681. Полученный в ответном смс код введите в поле ниже. (заявка № 89634)

  1. #1
    Junior Member Репутация
    Регистрация
    13.09.2010
    Сообщений
    13
    Вес репутации
    50

    Вы просматривали гей-порно-видео. Для оплаты услуги и удаления данного сообщения отправьте SMS с текстом 503741002193 на номер 6681. Полученный в ответном смс код введите в поле ниже.

    Здравствуйте. Появилась проблема, суть такова: вместо рекламы и прочего в браузере вот такая вот надпись
    Вы просматривали гей-порно-видео.


    Для оплаты услуги и удаления данного сообщения отправьте SMS с текстом 503741002193 на номер 6681.
    Полученный в ответном смс код введите в поле ниже.

    Не пускает на сайт вконтакте, например, на некоторые заходит.
    В добавок ко всему не запускаются некоторые программы, переименование помогло запустить AvZ. В папочке Windows появились вот такие экзешники 1ed9em6jm.exe и 1ed9em6jm.exe.exe

    Очень прошу помочь, логи прилагаются.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Не волнуйтесь, сейчас напишу скрипт...

    Добавлено через 5 минут

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);  
     TerminateProcessByName('c:\windows\1ed9em6jm.exe');
     TerminateProcessByName('c:\windows\1ed9em6jm.exe.exe');
     TerminateProcessByName('c:\docume~1\4123~1.xyn\locals~1\temp\avntsc.exe');
     QuarantineFile('c:\windows\1ed9em6jm.exe.exe','');
     QuarantineFile('c:\windows\1ed9em6jm.exe','');
     StopService('srv32');
     DeleteService('srv32');
     QuarantineFile('C:\WINDOWS\1ed9em6jm.exe','');
     QuarantineFile('C:\DOCUME~1\4123~1.XYN\LOCALS~1\Temp\avntsc.exe','');
     DeleteFile('C:\DOCUME~1\4123~1.XYN\LOCALS~1\Temp\avntsc.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer11');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft iexplorer11');
     DeleteFile('C:\WINDOWS\1ed9em6jm.exe');
     BC_DeleteSvc('srv32');
     DeleteFile('c:\windows\1ed9em6jm.exe');
     DeleteFile('c:\windows\1ed9em6jm.exe.exe');  
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     ExecuteRepair(13);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи
    Последний раз редактировалось olejah; 10.10.2010 в 10:35. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    13.09.2010
    Сообщений
    13
    Вес репутации
    50
    Выслал карантин, повторяю логи, мил человек.

  5. #4
    Junior Member Репутация
    Регистрация
    13.09.2010
    Сообщений
    13
    Вес репутации
    50
    А вот логи!

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Почему здесь не долечились?! - http://virusinfo.info/showthread.php?t=87818

  7. #6
    Junior Member Репутация
    Регистрация
    13.09.2010
    Сообщений
    13
    Вес репутации
    50
    Извините, я просто в дурдоме 2 недели был от военкомата.

    Добавлено через 37 секунд

    Обязательно долечусь!

    Добавлено через 8 минут

    Мне просто долечиться там, или ждать дальнейших установок к действиям?
    Последний раз редактировалось КапитанБолт; 10.10.2010 в 11:32. Причина: Добавлено

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Выполните скрипт в АВЗ -

    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else 
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'fystemRoot.log');
    end.
    прикрепите к сообщению файл fystemRoot.log, который появится в папке с AVZ

  9. #8
    Junior Member Репутация
    Регистрация
    13.09.2010
    Сообщений
    13
    Вес репутации
    50
    Вот, пожалуйста.

  10. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Повторите логи АВЗ

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\4123~1.xyn\\locals~1\\temp\\avntsc.e xe - Trojan.Win32.Jorik.IRCbot.jn ( DrWEB: Win32.HLLW.Autoruner.32824, BitDefender: Trojan.Generic.4928410, NOD32: Win32/AutoRun.IRCBot.FL worm, AVAST4: Win32:Dropper-gen [Drp] )
      2. c:\\windows\\1ed9em6jm.exe - Trojan.Win32.Qhost.otd ( DrWEB: Trojan.HttpBlock.33, BitDefender: Trojan.Generic.4982732, NOD32: Win32/LockWeb.J trojan, AVAST4: Win32:Malware-gen )
      3. c:\\windows\\1ed9em6jm.exe.exe - Trojan.Win32.Qhost.otd ( DrWEB: Trojan.HttpBlock.33, BitDefender: Trojan.Generic.4982732, NOD32: Win32/LockWeb.J trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) КапитанБолт, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вы просматривали гей-порно-видео.
      От puhIzh в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.10.2010, 12:20
    2. Вы просматривали гей-порно-видео
      От Kudar в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.10.2010, 18:37
    3. смс на номер 6681 c текстом 610681242 (заявка №27322)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 3
      Последнее сообщение: 18.08.2010, 06:00
    4. Ответов: 19
      Последнее сообщение: 24.05.2010, 01:13
    5. Отправьте sms с текстом 733177 на номер 2474
      От HighMan в разделе Вредоносные программы
      Ответов: 17
      Последнее сообщение: 23.01.2010, 16:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00864 seconds with 19 queries