• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Порно банер

Статус
В этой теме нельзя размещать новые ответы.

Sanitar

Активный пользователь
Сообщения
259
Симпатии
39
#1
Такая ситуация. Друг скачивал обычный фильм и поймал порно банер. Находится от меня очень далеко-так что к ноуту подойти не могу. Скинул ему по аське Куре Ит, он его начал запускать и все зависло. Диспетчер задач запускается но видно только в трее, на экране его загораживает тотал-который никак не закрывается. В итоге получается что ни одну операцию по лечению он выполнить не может. Из всего что мне пришло на ум это посоветовать сдвинуть календарь на месяц вперед(где то вроде такое было) но вот боязно заставить его после этого перезапустить комп, вдруг после этого вообще ничего кроме банера не запустится. :sorry:

Добавлено через 8 минут 51 секунду
Кажется AVZ удастся запустить. Уже легче.
 

akok

Команда форума
Администратор
Сообщения
13,777
Симпатии
11,596
#2
Нужно проверить этой версию cureit (выбрать: Войти как незарегистрированный пользователь)
 

Sanitar

Активный пользователь
Сообщения
259
Симпатии
39
#3
Нужно проверить этой версию cureit (выбрать: Войти как незарегистрированный пользователь)
Этот он вообще принять не может. Я его даже в кукурусю переименовал-не получает. Авст Про этот вирь уже априходовал.

Добавлено через 11 минут 15 секунд
С полиморфным AVZ юмора не понял. Скачиваю архив под названием game.zip - это оно? Что за AVZ такой?
 

Sanitar

Активный пользователь
Сообщения
259
Симпатии
39
#5
Пришлось другой качать, а тот что у edde в подписи-там просто какой то непонятный файл а AVZ там и не пахнет. Сейчас постараемся сделать логи и я скину для рассмотрения.

Добавлено через 4 минуты 43 секунды
виснет все, не дает эта зараза сделать 3 скрипт.
 

Sanitar

Активный пользователь
Сообщения
259
Симпатии
39
#7
авз там пахнет, нужно только принюхаться, game.pif это и есть авз :D этот файл и запускайте
Я на своем попробовал запустить, он мне окошко выдал что что то заблокировал и все. А оболочки АВЗ так и не увидел. А вот если скачивать с файлообменника-то там все есть только базы не обновляются. Не понятно в чем секрет.
А вот способ срубить порнобанер я таки нашел. Долго хотел попробовать да машины не предоставилось. Раскрываю способ, есть у меня в загашнике програмулька- anti_autorun.exe вот ее я по аське и отправил и заставил запустить-старт. Банер моментально снесло. Теперь спокойно можно с другими утилитами поработать-а то все блокировалось.
 

Sanitar

Активный пользователь
Сообщения
259
Симпатии
39
#8
Удалось нам сделать 3скрипт а после перезагрузки баннер вернулся опять. Срубили его той же программулькой что бы сделать 2 скрипт.
 

Вложения

Последнее редактирование:

edde

Ассоциация VN/VIP
VIP
Сообщения
1,817
Симпатии
1,262
#9
выполните скрипт авз

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\password.url','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\job.url','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\Mirtesen.ru.url','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\Bases-09_Russia_Setup-p.exe','');
 QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\Bases-09.url','');
 QuarantineFile('C:\WINDOWS\system32\eqqo.yso','');
 QuarantineFile('C:\Program Files\plugin.exe','');  
 DeleteFile('C:\Program Files\plugin.exe');
 DeleteFile('C:\WINDOWS\system32\eqqo.yso');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\Bases-09.url');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\Bases-09_Russia_Setup-p.exe');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\Mirtesen.ru.url');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\job.url');
 DeleteFile('C:\Documents and Settings\user\Local Settings\Temp\password.url');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(6);
 ExecuteRepair(7);
 ExecuteRepair(8);
 ExecuteRepair(16);
 RebootWindows(true);
end.
Компьютер перезагрузится
выпоните второй скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Повторите логи
 

Sanitar

Активный пользователь
Сообщения
259
Симпатии
39
#10
Новые логи. Эта пакость так и отображается O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe" Он с утра самовольно папку plugin тоталом удалил,баннер не появился. Вчера после скрипта баннер вылезал.
 

Вложения

akok

Команда форума
Администратор
Сообщения
13,777
Симпатии
11,596
#11
Acrobat 7.0 обновить до Acrobat 9.х


Пофиксить в HijackThis следующие строчки
Код:
	O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
  DeleteFile('C:\Program Files\plugin.exe');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteRepair(19);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Если не пропадет банер, то

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - Руководство по применению
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe



Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.
 

Sanitar

Активный пользователь
Сообщения
259
Симпатии
39
#12
Баннер не появляется. В логе где Registry dump все же есть строка: C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\password.url Она должна быть или это я просто паникую?
И вот еще нашел, по гуглю вроде это удаляют. C:\Program Files\citysvyaz\citysvyaz.exe
 

akok

Команда форума
Администратор
Сообщения
13,777
Симпатии
11,596
#15
Уже нет нужды.

Почисть точки восстановления после лечения и проведи проверку стационарным антивирусом.... для ловли "неактивных блох".
 
Статус
В этой теме нельзя размещать новые ответы.