Pornhub.com снова

Bskn · 24.05.2010, 21:35

Попали на вирус pornhub.com 3381 - 4450101744816
На данный момент пытаемся использовать liveCD.

лог hijackthis : http://files.mail.ru/20RMWT
лог avz htm: http://files.mail.ru/6MBHAG
лог avz zip: http://files.mail.ru/6LCM6W

Помогите пожалуйста справиться с заразой.
Если можно, пожалуйста, как можно детальнее, мы новички и с подобной проблемой столкнулись впервые.

romul781 · 24.05.2010, 21:37

Bskn, еще такие логи сделайте http://pchelpforum.ru/showpost.php?p=229780&postcount=3

Bskn · 24.05.2010, 21:41

http://files.mail.ru/PQZQ34
пожалуйста RSIT лог

romul781 · 24.05.2010, 21:51

Bskn, я прошу прощения, ссылка была не верной

пройдите еще раз по ссылке - из моего первого поста.
нужны Дополнительные логи утилитки Hijackthis

Bskn · 24.05.2010, 21:58

http://files.mail.ru/HWK2IB
startuplist scan
Open Ads spy - ничего не нашел

01pump · 24.05.2010, 22:04

Bskn,
Во-первых выкиньте вашу древнюю версию avz
Уже 4.32 полгода функционирует.

Во-вторых вы логи делали из-под LiveCD ? Значит по этой инструкции http://pchelpforum.ru/showpost.php?p=69244&postcount=2 попадите с помощью вашей LiveCD в больной реестр в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows иу параметра AppInit_DLLs перепишите значение

Bskn · 24.05.2010, 22:14

Цитата:

Сообщение от 01pump

Значит по этой инструкции http://pchelpforum.ru/showpost.php?p=69244&postcount=2 попадите с помощью вашей LiveCD в больной реестр в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows иу параметра AppInit_DLLs перепишите значение

C:\WINDOWS\system32\dllcache\c_28594.nls:QRNluC

это имелось в виду? или о каком значении речь?

snifer67 · 24.05.2010, 22:28

Удаляйте это значение и сам файл.

01pump · 24.05.2010, 22:29

Bskn,
Да это значение удалите и перезагрузившись сделайте это http://pchelpforum.ru/showpost.php?p=37758&postcount=1

Bskn · 24.05.2010, 22:38

Цитата:

Сообщение от 01pump

Да это значение удалите и перезагрузившись сделайте это http://pchelpforum.ru/showpost.php?p=37758&postcount=1

это делается из LiveCD или перезапуститься в винду?

01pump · 24.05.2010, 22:50

Bskn,
Эти логи делаются в обычной системе.

Bskn · 24.05.2010, 23:58

http://files.mail.ru/G4TOIL

Это - virusinfo_syscure.zip

---------- Добавлено в 22:58 ---------- Предыдущее сообщение было написано в 22:37 ----------

http://files.mail.ru/ZE0HNF

Это hijackthis.log

snifer67 · 25.05.2010, 00:05

Пофиксить в HijackThis

Код:

F3 - REG:win.ini: run=C:\WINDOWS\system32\vqpzqso.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\vqpzqso.exe','');
 DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyWebSearch Email Plugin');
 DeleteFile('C:\WINDOWS\system32\vqpzqso.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

ПК перезагрузится.

Выполнить скрипт в AVZ.

Код:

var
  qfolder: string;
  qname: string;
begin
  qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
  qfolder := ExtractFilePath(qname);
  if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
  CreateQurantineArchive(qname);
  ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.
Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб)
Сделайте новые логи.

Bskn · 25.05.2010, 01:42

Уважаемый snifer67
Извиняюсь. Вынужден был отложить до завтра финальную часть.
Уже писал, что новичок.
Что значит: Пофиксить в HijackThis?
Где конкретно в HijackThis вставить эти:
F3 - REG:win.ini: run=C:\WINDOWS\system32\vqpzqso.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

То же и по отношению к AVZ?
Если можно - чуть подробнее.
Заранее спасибо.

winshelp · 25.05.2010, 01:49

Bskn.
Как работать с программами читаем и смотрим здесь: http://pchelpforum.ru/f26/t24207/

24.05.2010, 21:35	#1 (ссылка)
Bskn Новичок Регистрация: 24.05.2010 Сообщений: 9 Репутация: 0	Pornhub.com снова Попали на вирус pornhub.com 3381 - 4450101744816 На данный момент пытаемся использовать liveCD. лог hijackthis : http://files.mail.ru/20RMWT лог avz htm: http://files.mail.ru/6MBHAG лог avz zip: http://files.mail.ru/6LCM6W Помогите пожалуйста справиться с заразой. Если можно, пожалуйста, как можно детальнее, мы новички и с подобной проблемой столкнулись впервые.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
И снова они....	by.	Безопасность	8	10.01.2011 13:38
и снова ищу музыку	krab	Общение по интересам	3	29.12.2010 15:11
и снова хром	Ильич	Интернет и сети	6	14.12.2010 22:22
pornhub.com снова	Annexy	Безопасность	1	05.07.2010 22:36
Снова Оперативка	GUnit	Железо	1	19.06.2010 02:44
И снова pornhub.com...	a1bT	Безопасность	15	24.05.2010 14:41
И снова Османский	SacredHash	Безопасность	8	19.05.2010 20:07
И снова баннер	waters	Безопасность	4	13.05.2010 13:27
И снова о вай фай	Kjane17	Интернет и сети	1	23.09.2009 10:59
Снова про USB	Ujines	Неисправности, настройка	4	08.09.2009 19:46
И снова память...	Olegg	Железо	4	15.02.2009 00:44
Снова GTA4	Multihunter	Игры	7	14.02.2009 19:48

24.05.2010, 21:37	#2 (ссылка)
romul781 Знаток Регистрация: 01.03.2009 Сообщений: 3,546 Репутация: 260	Bskn, еще такие логи сделайте http://pchelpforum.ru/showpost.php?p=229780&postcount=3

24.05.2010, 21:41	#3 (ссылка)
Bskn Новичок Регистрация: 24.05.2010 Сообщений: 9 Репутация: 0	http://files.mail.ru/PQZQ34 пожалуйста RSIT лог

24.05.2010, 21:51	#4 (ссылка)
romul781 Знаток Регистрация: 01.03.2009 Сообщений: 3,546 Репутация: 260	Bskn, я прошу прощения, ссылка была не верной пройдите еще раз по ссылке - из моего первого поста. нужны Дополнительные логи утилитки Hijackthis

24.05.2010, 21:58	#5 (ссылка)
Bskn Новичок Регистрация: 24.05.2010 Сообщений: 9 Репутация: 0	http://files.mail.ru/HWK2IB startuplist scan Open Ads spy - ничего не нашел

24.05.2010, 22:04	#6 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Bskn, Во-первых выкиньте вашу древнюю версию avz Уже 4.32 полгода функционирует. Во-вторых вы логи делали из-под LiveCD ? Значит по этой инструкции http://pchelpforum.ru/showpost.php?p=69244&postcount=2 попадите с помощью вашей LiveCD в больной реестр в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows иу параметра AppInit_DLLs перепишите значение

24.05.2010, 22:28	#8 (ссылка)
snifer67 Стажёр Регистрация: 11.04.2010 Сообщений: 977 Репутация: 96	Удаляйте это значение и сам файл.

24.05.2010, 22:29	#9 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Bskn, Да это значение удалите и перезагрузившись сделайте это http://pchelpforum.ru/showpost.php?p=37758&postcount=1

24.05.2010, 22:50	#11 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Bskn, Эти логи делаются в обычной системе.

24.05.2010, 23:58	#12 (ссылка)
Bskn Новичок Регистрация: 24.05.2010 Сообщений: 9 Репутация: 0	http://files.mail.ru/G4TOIL Это - virusinfo_syscure.zip ---------- Добавлено в 22:58 ---------- Предыдущее сообщение было написано в 22:37 ---------- http://files.mail.ru/ZE0HNF Это hijackthis.log

25.05.2010, 01:42	#14 (ссылка)
Bskn Новичок Регистрация: 24.05.2010 Сообщений: 9 Репутация: 0	Уважаемый snifer67 Извиняюсь. Вынужден был отложить до завтра финальную часть. Уже писал, что новичок. Что значит: Пофиксить в HijackThis? Где конкретно в HijackThis вставить эти: F3 - REG:win.ini: run=C:\WINDOWS\system32\vqpzqso.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 То же и по отношению к AVZ? Если можно - чуть подробнее. Заранее спасибо.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

25.05.2010, 01:49	#15 (ссылка)
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	Bskn. Как работать с программами читаем и смотрим здесь: http://pchelpforum.ru/f26/t24207/