Помогите убрать porno media module

[Ирина К.]

Здтавствуйте, помогите убрать с момпьютера рекламный модуль. Находится в нижнем углу экрана и не исчезает. Из-за него заблокирована мазила и дтспетчер задач. Я сделала все так как написано на http://pchelpforum.ru/showpost.php?p=37758&postcount=1. Разместила файл из папки LOG(программа avz4) на файлобменник. Вот ссылка http://webfile.ru/4528891 (надеюсь все правильно сделала).

[01pump]

Ирина К.,

Установите эти http://exfile.ru/104568 заплатки и перезагрузитесь.

Затем выполните такой лог http://pchelpforum.ru/showpost.php?p=229799&postcount=7 и пришлите его


Запускаем снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставляем текст:

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\204e98\1d8cd9.exe');
DeleteFile('c:\documents and settings\all users\media\module.exe');
DeleteFile('C:\WINDOWS\system32\204E98\com.run');
DeleteFile('C:\WINDOWS\system32\204E98\dp1.fne');
DeleteFile('C:\WINDOWS\system32\204E98\eAPI.fne');
DeleteFile('C:\WINDOWS\system32\204E98\internet.fne');
DeleteFile('C:\WINDOWS\system32\204E98\krnln.fnr');
DeleteFile('C:\WINDOWS\system32\204E98\RegEx.fnr');
DeleteFile('C:\WINDOWS\system32\204E98\shell.fne');
DeleteFile('C:\WINDOWS\system32\204E98\spec.fne');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Module');
DeleteFile('C:\Documents and Settings\Admin\Мои документы\Загрузки\flash_player_10.2.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1D8CD9');
DeleteFile('C:\WINDOWS\system32\regsvr.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Msn Messsenger');
DeleteFile('C:\WINDOWS\system32\204E98\1D8CD9.EXE');
DeleteFile('C:\WINDOWS\system32\svchost');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
DeleteFileMask('C:\WINDOWS\system32\204E98','*.*',true);
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(17);
RebootWindows(true);
end.

Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!!

После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis и пришлите hijackthis.log
А так же пришлите лог Gmer

[Ирина К.]

у меня не переходит по первой ссылке.

[01pump]

Ирина К.,

нет доступа к этой http://exfile.ru/104568 ссылке?
А вот по этой http://slil.ru/29263853 ?

[Ирина К.]

а по второй перешел.

[01pump]

Ирина К.,
Вот ставьте заплатки, сделайте лог Гмер, скрипт лечения в avz и затем после всего стандартный скрипт №2 и пришлите все требуемые логи

[Ирина К.]

Знаю вопрос глупый, но все же логи прислаль файлами или просто скопировать содержание в письмо?

[snifer67]

Залейте их на файлобменник и ссылку укажите здесь.

[Ирина К.]

вот ссылки: http://exfile.ru/105656 ,http://exfile.ru/105657 ,http://exfile.ru/105633.

[01pump]

Ирина К.,
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)

Код:

2s4i56nw.exe -del service ndbraolt
2s4i56nw.exe -del file "C:\WINDOWS\system32\gysdxg.dll"
2s4i56nw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ndbraolt"
2s4i56nw.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ndbraolt"
2s4i56nw.exe -reboot

После перезагрузки выполните этот скрипт в avz с подключенной флешкой!

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('F:\autorun.inf');
DeleteFile('F:\Recycled.exe');
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip и сделайте еще один лог Gmer

[Ирина К.]

http://exfile.ru/105682; http://exfile.ru/105672

[01pump]

Ирина К.,
Не пойму... У вас съемные диск то F то H Это всё разные устройства? Вы их берете у кого то?
На них постоянно прописываются трояны.

Выполните этот скрипт

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\204e98\1d8cd9.exe');
DeleteFile('c:\windows\system32\jnstm.exe');
DeleteFile('C:\WINDOWS\system32\204E98\com.run');
DeleteFile('C:\WINDOWS\system32\204E98\dp1.fne');
DeleteFile('C:\WINDOWS\system32\204E98\eAPI.fne');
DeleteFile('C:\WINDOWS\system32\204E98\krnln.fnr');
DeleteFile('C:\WINDOWS\system32\204E98\shell.fne');
DeleteFileMask('C:\WINDOWS\system32\204E98','*.*',true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1D8CD9');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\RECYCLER\S-51-9-25-3434476501-1644491933-602326628-1214\Jnstm.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip и лог утилиты Hijackthis

[Ирина К.]

Это разные флешки. Точнее одна флешка, а другой телефон. Вот ссылки http://exfile.ru/105796 ,
http://exfile.ru/105797

[01pump]

Ирина К.,

Выполните такой скрипт

Код:

 
var
Lines : TStrings;
i : integer;
begin
Lines := TStringList.Create;
SearchFiles('C:\WINDOWS\system32\204E98', '*.*', Lines, true, false);
for i:= 0 to Lines.Count-1 do
AddToLog(Lines[i]+', Size='+inttostr(GetFileSize(Lines[i])));
Lines.Free;
SaveLog(GetAVZDirectory + 'file.log');
end.

И пришлите из папки avz лог avz.log

[Ирина К.]

Я выполнила, но лог не появился.