Решена Порно банер

[Sanitar]

Такая ситуация. Друг скачивал обычный фильм и поймал порно банер. Находится от меня очень далеко-так что к ноуту подойти не могу. Скинул ему по аське Куре Ит, он его начал запускать и все зависло. Диспетчер задач запускается но видно только в трее, на экране его загораживает тотал-который никак не закрывается. В итоге получается что ни одну операцию по лечению он выполнить не может. Из всего что мне пришло на ум это посоветовать сдвинуть календарь на месяц вперед(где то вроде такое было) но вот боязно заставить его после этого перезапустить комп, вдруг после этого вообще ничего кроме банера не запустится.

Добавлено через 8 минут 51 секунду
Кажется AVZ удастся запустить. Уже легче.

 

[akok]

Нужно проверить этой версию cureit (выбрать: Войти как незарегистрированный пользователь)

 

[Sanitar]

Нужно проверить этой версию cureit (выбрать: Войти как незарегистрированный пользователь)

Этот он вообще принять не может. Я его даже в кукурусю переименовал-не получает. Авст Про этот вирь уже априходовал.

Добавлено через 11 минут 15 секунд
С полиморфным AVZ юмора не понял. Скачиваю архив под названием game.zip - это оно? Что за AVZ такой?

 

[Drongo]

Скачиваю архив под названием game.zip - это оно? Что за AVZ такой?

Да, это оно.

 

[Sanitar]

Да, это оно.

Пришлось другой качать, а тот что у edde в подписи-там просто какой то непонятный файл а AVZ там и не пахнет. Сейчас постараемся сделать логи и я скину для рассмотрения.

Добавлено через 4 минуты 43 секунды
виснет все, не дает эта зараза сделать 3 скрипт.

 

[edde]

авз там пахнет, нужно только принюхаться, game.pif это и есть авз этот файл и запускайте

 

[Sanitar]

авз там пахнет, нужно только принюхаться, game.pif это и есть авз этот файл и запускайте

Я на своем попробовал запустить, он мне окошко выдал что что то заблокировал и все. А оболочки АВЗ так и не увидел. А вот если скачивать с файлообменника-то там все есть только базы не обновляются. Не понятно в чем секрет.
А вот способ срубить порнобанер я таки нашел. Долго хотел попробовать да машины не предоставилось. Раскрываю способ, есть у меня в загашнике програмулька- anti_autorun.exe вот ее я по аське и отправил и заставил запустить-старт. Банер моментально снесло. Теперь спокойно можно с другими утилитами поработать-а то все блокировалось.

 

[Sanitar]

Удалось нам сделать 3скрипт а после перезагрузки баннер вернулся опять. Срубили его той же программулькой что бы сделать 2 скрипт.

 

[edde]

выполните скрипт авз

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\password.url','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\job.url','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\Mirtesen.ru.url','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\Bases-09_Russia_Setup-p.exe','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\Bases-09.url','');
 QuarantineFile('C:\WINDOWS\system32\eqqo.yso','');
 QuarantineFile('C:\Program Files\plugin.exe','');  
 DeleteFile('C:\Program Files\plugin.exe');
 DeleteFile('C:\WINDOWS\system32\eqqo.yso');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\Bases-09.url');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\Bases-09_Russia_Setup-p.exe');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\Mirtesen.ru.url');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\job.url');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\password.url');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(6);
 ExecuteRepair(7);
 ExecuteRepair(8);
 ExecuteRepair(16);
 RebootWindows(true);
end.

Компьютер перезагрузится
выпоните второй скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Повторите логи

 

[Sanitar]

Новые логи. Эта пакость так и отображается O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe" Он с утра самовольно папку plugin тоталом удалил,баннер не появился. Вчера после скрипта баннер вылезал.

 

[akok]

Acrobat 7.0 обновить до Acrobat 9.х


Пофиксить в HijackThis следующие строчки

	O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
  DeleteFile('C:\Program Files\plugin.exe');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteRepair(19);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Если не пропадет банер, то

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - Руководство по применению
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe



Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

 

[Sanitar]

Баннер не появляется. В логе где Registry dump все же есть строка: C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\password.url Она должна быть или это я просто паникую?
И вот еще нашел, по гуглю вроде это удаляют. C:\Program Files\citysvyaz\citysvyaz.exe

 

[akok]

http://oren.citysvyaz.ru/ как бы...

 

[Sanitar]

http://oren.citysvyaz.ru/ как бы...

Понятно.
Значит лечение закончено или лог Рсит еще раз показать?

 

[akok]

Уже нет нужды.

Почисть точки восстановления после лечения и проведи проверку стационарным антивирусом.... для ловли "неактивных блох".