Решена Порно банер

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Sanitar, 25 фев 2010.

Статус темы:
Закрыта.
  1. Sanitar
    Онлайн

    Sanitar Активный пользователь

    Сообщения:
    172
    Симпатии:
    30
    Такая ситуация. Друг скачивал обычный фильм и поймал порно банер. Находится от меня очень далеко-так что к ноуту подойти не могу. Скинул ему по аське Куре Ит, он его начал запускать и все зависло. Диспетчер задач запускается но видно только в трее, на экране его загораживает тотал-который никак не закрывается. В итоге получается что ни одну операцию по лечению он выполнить не может. Из всего что мне пришло на ум это посоветовать сдвинуть календарь на месяц вперед(где то вроде такое было) но вот боязно заставить его после этого перезапустить комп, вдруг после этого вообще ничего кроме банера не запустится. :sorry:

    Добавлено через 8 минут 51 секунду
    Кажется AVZ удастся запустить. Уже легче.
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Нужно проверить этой версию cureit (выбрать: Войти как незарегистрированный пользователь)
     
  3. Sanitar
    Онлайн

    Sanitar Активный пользователь

    Сообщения:
    172
    Симпатии:
    30
    Этот он вообще принять не может. Я его даже в кукурусю переименовал-не получает. Авст Про этот вирь уже априходовал.

    Добавлено через 11 минут 15 секунд
    С полиморфным AVZ юмора не понял. Скачиваю архив под названием game.zip - это оно? Что за AVZ такой?
     
  4. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    Да, это оно. :)
     
  5. Sanitar
    Онлайн

    Sanitar Активный пользователь

    Сообщения:
    172
    Симпатии:
    30
    Пришлось другой качать, а тот что у edde в подписи-там просто какой то непонятный файл а AVZ там и не пахнет. Сейчас постараемся сделать логи и я скину для рассмотрения.

    Добавлено через 4 минуты 43 секунды
    виснет все, не дает эта зараза сделать 3 скрипт.
     
  6. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    авз там пахнет, нужно только принюхаться, game.pif это и есть авз :D этот файл и запускайте
     
    4 пользователям это понравилось.
  7. Sanitar
    Онлайн

    Sanitar Активный пользователь

    Сообщения:
    172
    Симпатии:
    30
    Я на своем попробовал запустить, он мне окошко выдал что что то заблокировал и все. А оболочки АВЗ так и не увидел. А вот если скачивать с файлообменника-то там все есть только базы не обновляются. Не понятно в чем секрет.
    А вот способ срубить порнобанер я таки нашел. Долго хотел попробовать да машины не предоставилось. Раскрываю способ, есть у меня в загашнике програмулька- anti_autorun.exe вот ее я по аське и отправил и заставил запустить-старт. Банер моментально снесло. Теперь спокойно можно с другими утилитами поработать-а то все блокировалось.
     
  8. Sanitar
    Онлайн

    Sanitar Активный пользователь

    Сообщения:
    172
    Симпатии:
    30
    Удалось нам сделать 3скрипт а после перезагрузки баннер вернулся опять. Срубили его той же программулькой что бы сделать 2 скрипт.
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      20,4 КБ
      Просмотров:
      4
    • virusinfo_syscure.zip
      Размер файла:
      21,2 КБ
      Просмотров:
      9
    • log.txt
      Размер файла:
      28,2 КБ
      Просмотров:
      4
    • info.txt
      Размер файла:
      16 КБ
      Просмотров:
      2
    Последнее редактирование: 25 фев 2010
  9. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    выполните скрипт авз

    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\password.url','');
     QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\job.url','');
     QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\Mirtesen.ru.url','');
     QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\Bases-09_Russia_Setup-p.exe','');
     QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\Bases-09.url','');
     QuarantineFile('C:\WINDOWS\system32\eqqo.yso','');
     QuarantineFile('C:\Program Files\plugin.exe','');  
     DeleteFile('C:\Program Files\plugin.exe');
     DeleteFile('C:\WINDOWS\system32\eqqo.yso');
     DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\Bases-09.url');
     DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\Bases-09_Russia_Setup-p.exe');
     DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\Mirtesen.ru.url');
     DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\job.url');
     DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\password.url');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     ExecuteRepair(6);
     ExecuteRepair(7);
     ExecuteRepair(8);
     ExecuteRepair(16);
     RebootWindows(true);
    end.
    Компьютер перезагрузится
    выпоните второй скрипт
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

    Повторите логи
     
    2 пользователям это понравилось.
  10. Sanitar
    Онлайн

    Sanitar Активный пользователь

    Сообщения:
    172
    Симпатии:
    30
    Новые логи. Эта пакость так и отображается O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe" Он с утра самовольно папку plugin тоталом удалил,баннер не появился. Вчера после скрипта баннер вылезал.
     

    Вложения:

    • info.txt
      Размер файла:
      16,3 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      28,2 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      19,9 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      20,3 КБ
      Просмотров:
      1
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Acrobat 7.0 обновить до Acrobat 9.х


    Пофиксить в HijackThis следующие строчки
    Код (Text):
        O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
      DeleteFile('C:\Program Files\plugin.exe');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteRepair(19);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Если не пропадет банер, то

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Как использовать ComboFix - Руководство по применению
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe



    Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
     
    2 пользователям это понравилось.
  12. Sanitar
    Онлайн

    Sanitar Активный пользователь

    Сообщения:
    172
    Симпатии:
    30
    Баннер не появляется. В логе где Registry dump все же есть строка: C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\password.url Она должна быть или это я просто паникую?
    И вот еще нашел, по гуглю вроде это удаляют. C:\Program Files\citysvyaz\citysvyaz.exe
     
  13. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
  14. Sanitar
    Онлайн

    Sanitar Активный пользователь

    Сообщения:
    172
    Симпатии:
    30
    Понятно.
    Значит лечение закончено или лог Рсит еще раз показать? :sorry:
     
  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Уже нет нужды.

    Почисть точки восстановления после лечения и проведи проверку стационарным антивирусом.... для ловли "неактивных блох".
     
Статус темы:
Закрыта.

Поделиться этой страницей