18.03.2010, 23:26 | #1 (ссылка) |
Новичок
Регистрация: 05.05.2009
Сообщений: 14
Репутация: 0
|
Порно баннер на рабочем столе
Вот файл http://exfile.ru/90106 Буду очень признателен. В безопасном режиме его можно выполнить?
|
19.03.2010, 00:01 | #2 (ссылка) |
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
kenas, нехилый наборчик паразитов у вас на компе
нужен лог хайджека http://pchelpforum.ru/f26/t6442/ . Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteService('Nups'); DeleteFile('C:\WINDOWS\system32\tapi.nfo'); DeleteFile('C:\WINDOWS\System32\DRIVERS\nups.sys'); DeleteFile('C:\Program Files\AdVantage\AdVantage.exe'); DeleteFile('C:\Program Files\plugin.exe'); DeleteFile('C:\WINDOWS\system32\25.exe'); DeleteFile('C:\WINDOWS\Knight.exe'); DeleteFile('C:\WINDOWS\system32\dilvuz.dll'); DeleteFile('msfun80.exe'); DeleteFile('msime82.exe'); DeleteFile('H:\autorun.wsh'); DeleteFile('C:\Documents and Settings\Ma-Kenas\Главное меню\Программы\Автозагрузка\officexp.exe'); DeleteFile('C:\WINDOWS\system32\windfire.exe'); DeleteFile('C:\RECYCLED\BIN\ok.exe'); DelCLSID('67KLN5J0-4OPM-33WE-AAX5-34KC2A3452432'); RegKeyParamDel('HKEY_LOCAL_MACHINE ','Software\Microsoft\Windows\CurrentVersion\Run ','IMJPMIG8.2 '); RegKeyParamDel('HKEY_CURRENT_USER ','Software\Microsoft\Windows\CurrentVersion\Run ','MsServer '); RegKeyParamDel('HKEY_CURRENT_MACHINE ',' SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows ','AppInit_DLLs '); RegKeyParamDel('HKEY_CURRENT_MACHINE ',' Software\Microsoft\Windows\CurrentVersion\Run ','systme '); RegKeyParamDel('HKEY_CURRENT_MACHINE ',' Software\Microsoft\Windows\CurrentVersion\Run ','Disk Knight '); RegKeyParamDel('HKEY_CURRENT_MACHINE ',' Software\Microsoft\Windows\CurrentVersion\Run ','plugin '); RegKeyParamDel('HKEY_CURRENT_USER ',' Software\Microsoft\Windows\CurrentVersion\Run ','AdVantage '); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(6 ); ExecuteRepair(16 ); RebootWindows(true); end. Внимание !!! База поcледний раз обновлялась 05.05.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог программы хайджек. Последний раз редактировалось romul781; 19.03.2010 в 00:24. |
19.03.2010, 00:58 | #3 (ссылка) |
Новичок
|
Сервис деактивации вымогателей-блокеров - http://support.kaspersky.ru/viruses/deblocker
Если кому надо! |
19.03.2010, 01:01 | #4 (ссылка) |
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
Колян1, такая тема уже есть!!!
http://pchelpforum.ru/f26/t18538/ |
19.03.2010, 20:49 | #5 (ссылка) |
Новичок
Регистрация: 05.05.2009
Сообщений: 14
Репутация: 0
|
Вот http://exfile.ru/90291 Баннер пропал спасибо. Хайджек не получается на обменник скинуть - выбрасывает.
|
19.03.2010, 22:20 | #6 (ссылка) |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Лог Хайджека вставьте прям сюда(словами).
---------- Добавлено в 20:20 ---------- Предыдущее сообщение было написано в 20:17 ---------- Вирусы есть.Пока что смотрю лог.Подождите,пожалуйста. ---------- Добавлено в 21:20 ---------- Предыдущее сообщение было написано в 20:20 ---------- У вас вирус кое-что поломал.Надо починить+активный вирус.Выполните скрипт в AVZ: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\shell64.dll',''); QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll',''); QuarantineFile('c:\program files\mozilla firefox\rasadhlp.dll',''); DelBHO('{1E796980-9CC5-11D1-A83F-00C04FC99D61}'); DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}'); DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}'); DeleteFile('C:\WINDOWS\system32\shell64.dll'); QuarantineFile('C:\Program Files\Mozilla Firefox\rasadhlp.dll',''); DeleteFile('C:\Program Files\Mozilla Firefox\rasadhlp.dll'); DeleteFile('c:\program files\mozilla firefox\rasadhlp.dll'); DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll'); DeleteFile('C:\WINDOWS\system32\dilvuz.dll'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(1); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. Код:
var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end. |
19.03.2010, 23:36 | #7 (ссылка) |
Новичок
Регистрация: 05.05.2009
Сообщений: 14
Репутация: 0
|
Второй скрипт не пошел! Вот файл после первого http://exfile.ru/90322. Где найти fystemRoot.log?
лог хайджека http://exfile.ru/90352 Последний раз редактировалось romul781; 20.03.2010 в 00:09. |
20.03.2010, 00:22 | #8 (ссылка) |
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
kenas, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк
Код:
R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE O20 - AppInit_DLLs: dilvuz.dll O20 - Winlogon Notify: crypt - Invalid registry found Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('wsctf.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wsctf.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end. |
Ads | |
20.03.2010, 10:03 | #9 (ссылка) | |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Цитата:
|
|
20.03.2010, 10:16 | #11 (ссылка) |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Выполните такой скрипт в AVZ:
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('wsctf.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wsctf.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end. Последний раз редактировалось help?; 20.03.2010 в 10:39. |
20.03.2010, 10:52 | #13 (ссылка) |
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Во 1 по двум ссылкам одно и тоже.Во 2 выполните скрипт в AVZ:
Код:
var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end. Да кстати-перезагрузки не будет! Последний раз редактировалось romul781; 20.03.2010 в 11:47. |
20.03.2010, 11:46 | #14 (ссылка) |
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
kenas, 1. Скачайте программу http://www.malwarebytes.org/mbam-download.php
2. Установите ее. - Запустите MBAM - выберите Perform Full Scan (Провести полную проверку) - нажмите Scan (Проверить) - после сканирования выберите Ок и далее Show Results (Показать результаты) 3. По окончании сканирования будет сгенерирован лог. 4. выложите его на файлообменник. 5. не удаляйте ничего сами!!! |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Порно баннер на рабочем столе, avz запустил с LiveCD | EXPERTKZ | Безопасность | 5 | 05.07.2010 18:35 |
Баннер с порно-сайтом на рабочем столе. | qrt | Безопасность | 3 | 16.06.2010 11:11 |
Порно баннер на рабочем столе | goldmund | Безопасность | 15 | 11.06.2010 00:51 |
Порно баннер на рабочем столе | gvedas | Безопасность | 4 | 24.04.2010 00:20 |
Порно-баннер на рабочем столе | Roger | Безопасность | 15 | 23.04.2010 13:14 |
Порно баннер на рабочем столе появляется через два дня | goldmund | Безопасность | 5 | 27.03.2010 14:30 |
Порно баннер на рабочем столе | boracyda | Безопасность | 6 | 13.03.2010 13:53 |
Порно баннер на рабочем столе | alenushka | Безопасность | 2 | 13.03.2010 12:40 |
Порно баннер на рабочем столе... | Quete | Безопасность | 25 | 11.03.2010 10:14 |
Порно баннер на рабочем столе | Настя45 | Безопасность | 1 | 10.01.2010 13:18 |
На рабочем столе появился баннер с порно и просьбой отправить смс | Shinobi | Безопасность | 4 | 03.01.2010 00:27 |
порно-БАННЕР на РАБОЧЕМ СТОЛЕ | SYPRA | Безопасность | 20 | 17.11.2009 19:01 |