Вирус pornhub

Millton · 23.05.2010, 12:50

Здравствуйте.
Появился баннер сайта pornhub (белый с двумя тетями) с отправкой смс на номер 3381.
Блокирует запуск программ, диспетчера задач и т.д. При запуске hijack и avz вырубает комп. Запустил LiveCD c флешки. Вот логи Hijackthis, ADSSpy, avz.

01pump · 23.05.2010, 12:54

Millton,

Вот такие логи http://pchelpforum.ru/showpost.php?p=229780&postcount=3 в обычной винде сделайте (скачав Hijackthis-portable по ссылке в инструкции)

Millton · 23.05.2010, 13:25

файл startuplist.txt
Open Ads spy ничего не выявил

01pump · 23.05.2010, 13:39

Millton,

По этой http://pchelpforum.ru/showpost.php?p=69244&postcount=2 инструкции попадите в реестр и скорректируйте его в ключе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows у параметра AppInit_DLLs удалите значение C:\WINDOWS\system32\rcopigb.dll
А так же попробуйте удалить сам скрытый файл C:\WINDOWS\system32\rcopigb.dll
Затем перезагрузитесь и по инструкции http://pchelpforum.ru/showpost.php?p=37758&postcount=1 сделайте логи

Millton · 23.05.2010, 15:01

virusinfo_syscure.zip

hijackthis.log

01pump · 23.05.2010, 15:07

Millton,

Ай молодца!

запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст:

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\uryodju.exe');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(12);
ExecuteRepair(17);
RebootWindows(true);
end.

Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!!

После перезагрузки выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip и новый лог Hijackthis

Millton · 23.05.2010, 15:29

повторная проверка:

virusinfo_syscheck.zip
hijackthis.log

01pump · 23.05.2010, 15:32

Millton,
Выполните скрипт в avz

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\uryodju.exe'); 
DelAutorunByFileName('C:\WINDOWS\system32\uryodju.exe'); 
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

Millton · 23.05.2010, 16:00

выполнил. проверил в папке system32, файла uryodju.exe не обнаружил
virusinfo_syscheck.zip

01pump · 23.05.2010, 16:06

Millton,

Этого файла физически уже нет. Мы чистим следы в реестре.
Выполните такой скрипт

Код:

 
begin
RegSearch('HKEY_USERS','','C:\WINDOWS\system32\uryodju.exe');
SaveLog(GetAVZDirectory + 'avz.log');
end.

После выполнения пришлите из папки avz файл avz.log

Millton · 23.05.2010, 16:20

Скрипт выполнил. Файл avz.log записался, но он пуст. На файлообменник файл (0 б) не загрузился

01pump · 23.05.2010, 16:25

Millton,

Я скрипт исправил. Выполните его снова и пришлите avz.log

Millton · 23.05.2010, 16:33

выполнил, вот файл avz.log

01pump · 23.05.2010, 16:44

Millton,

Выполните этот скрипт

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
RebootWindows(true);
end.

После перезагрузки выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

Millton · 23.05.2010, 17:18

virusinfo_syscheck.zip

23.05.2010, 12:50	#1 (ссылка)
Millton Новичок Регистрация: 23.05.2010 Сообщений: 38 Репутация: 0	Вирус pornhub Здравствуйте. Появился баннер сайта pornhub (белый с двумя тетями) с отправкой смс на номер 3381. Блокирует запуск программ, диспетчера задач и т.д. При запуске hijack и avz вырубает комп. Запустил LiveCD c флешки. Вот логи Hijackthis, ADSSpy, avz.

23.05.2010, 15:07	#6 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Millton, Ай молодца! запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\uryodju.exe'); ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(12); ExecuteRepair(17); RebootWindows(true); end. Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!! После перезагрузки выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip и новый лог Hijackthis

23.05.2010, 15:32	#8 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Millton, Выполните скрипт в avz Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\uryodju.exe'); DelAutorunByFileName('C:\WINDOWS\system32\uryodju.exe'); ExecuteSysClean; RebootWindows(true); end. После перезагрузки выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

23.05.2010, 16:06	#10 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Millton, Этого файла физически уже нет. Мы чистим следы в реестре. Выполните такой скрипт Код: begin RegSearch('HKEY_USERS','','C:\WINDOWS\system32\uryodju.exe'); SaveLog(GetAVZDirectory + 'avz.log'); end. После выполнения пришлите из папки avz файл avz.log Последний раз редактировалось 01pump; 23.05.2010 в 16:25.

23.05.2010, 16:44	#14 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Millton, Выполните этот скрипт Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows','Run'); RebootWindows(true); end. После перезагрузки выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

23.05.2010, 12:54	#2 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Millton, Вот такие логи http://pchelpforum.ru/showpost.php?p=229780&postcount=3 в обычной винде сделайте (скачав Hijackthis-portable по ссылке в инструкции)

23.05.2010, 13:25	#3 (ссылка)
Millton Новичок Регистрация: 23.05.2010 Сообщений: 38 Репутация: 0	файл startuplist.txt Open Ads spy ничего не выявил

23.05.2010, 13:39	#4 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Millton, По этой http://pchelpforum.ru/showpost.php?p=69244&postcount=2 инструкции попадите в реестр и скорректируйте его в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows у параметра AppInit_DLLs удалите значение C:\WINDOWS\system32\rcopigb.dll А так же попробуйте удалить сам скрытый файл C:\WINDOWS\system32\rcopigb.dll Затем перезагрузитесь и по инструкции http://pchelpforum.ru/showpost.php?p=37758&postcount=1 сделайте логи

23.05.2010, 15:01	#5 (ссылка)
Millton Новичок Регистрация: 23.05.2010 Сообщений: 38 Репутация: 0	virusinfo_syscure.zip hijackthis.log

23.05.2010, 15:29	#7 (ссылка)
Millton Новичок Регистрация: 23.05.2010 Сообщений: 38 Репутация: 0	повторная проверка: virusinfo_syscheck.zip hijackthis.log

23.05.2010, 16:00	#9 (ссылка)
Millton Новичок Регистрация: 23.05.2010 Сообщений: 38 Репутация: 0	выполнил. проверил в папке system32, файла uryodju.exe не обнаружил virusinfo_syscheck.zip

23.05.2010, 16:20	#11 (ссылка)
Millton Новичок Регистрация: 23.05.2010 Сообщений: 38 Репутация: 0	Скрипт выполнил. Файл avz.log записался, но он пуст. На файлообменник файл (0 б) не загрузился

23.05.2010, 16:25	#12 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Millton, Я скрипт исправил. Выполните его снова и пришлите avz.log

23.05.2010, 16:33	#13 (ссылка)
Millton Новичок Регистрация: 23.05.2010 Сообщений: 38 Репутация: 0	выполнил, вот файл avz.log

23.05.2010, 17:18	#15 (ссылка)
Millton Новичок Регистрация: 23.05.2010 Сообщений: 38 Репутация: 0	virusinfo_syscheck.zip

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус pornhub.com	expressq123	Безопасность	8	18.08.2010 14:15
Вирус (реклама) который утверждает что он не вирус и подавляет все действия	Vado	Безопасность	3	13.06.2010 16:40
Pornhub вирус (логи прикрепил)	vabrutski	Безопасность	4	05.06.2010 18:03
Вирус Pornhub	saruul	Безопасность	16	27.05.2010 13:44
Сетевое оборудование заблокировано, вирус удален (pornhub.com)	gash90	Безопасность	7	27.05.2010 13:43
Вирус Баннер Pornhub	Rodolfo	Безопасность	14	26.05.2010 18:59
Как удалить вирус pornhub.com	mensab	Безопасность	170	25.05.2010 15:47
Вирус pornhub.com	Ойра	Безопасность	30	23.05.2010 17:43
Вирус pornhub.com	Parabellum	Безопасность	25	19.05.2010 19:53
Удалить вирус pornhub.com, ссылка на лог в сообщении	andersen78	Безопасность	10	16.05.2010 17:12