Розовый баннер pornohub.com на рабочем столе

LFtr · 29.05.2010, 16:34

Вот мой лог
avz - http://exfile.ru/104309
HiJackThis http://exfile.ru/104313 и вот ещё один лог HiJack'a http://exfile.ru/104315
но в avz обновить базу я не сумел, сайты типа drweb, касперский и т.д. заблокированы, следовательно и не обновиться..
Помогите, пожалуйста.

P.S. баннер блокирует процесс "Выполнить" и мешает автоматически перезагружать компьютер, приходится перезагружать вручную, вылезает поверх всех программ, не даёт себя спрятать за края экрана.

winshelp · 29.05.2010, 17:29

Отключите компьютер от Интернет/локалки.
Закройте/отключите на время выполнения скрипта всё защитное ПО !!!

Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/
Профиксите в HiJackThis:

Код:

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem328aac233b.exe,\?g lobalrootsystemrootsystem32XKvxMCC.exe,\?globalrootsystemrootsystem32yLx TJfq.exe,\?globalrootsystemrootsystem32ZsrFq9P.exe,\?globalrootsystemroo tsystem32QrfzGga.exe,\?globalrootsystemrootsystem32XFS1B2P.exe,
O4 - HKCU\..\Run: [shell] C:\Program Files\Common Files\SysAware Soft\svhost.exe

AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\common files\sysaware soft\svhost.exe');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('c:\program files\common files\sysaware soft\svhost.exe','');
QuarantineFile('C:\WINDOWS\system32\8aac233b.exe','');
QuarantineFile('C:\PROGRAM FILES\COMMON FILES\SYSAWARE SOFT\hide.dll','');
QuarantineFile('C:\Documents and Settings\леня\Главное меню\Программы\Автозагрузка\winwyo32.exe','');
DeleteFile('C:\Documents and Settings\леня\Главное меню\Программы\Автозагрузка\winwyo32.exe');
DeleteFile('C:\PROGRAM FILES\COMMON FILES\SYSAWARE SOFT\hide.dll');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('c:\program files\common files\sysaware soft\svhost.exe');
DeleteFile('C:\WINDOWS\system32\8aac233b.exe');
DeleteFile('\\');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','shell');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
-----
Выполнить еще такой скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by
-------
Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip
залейте на файлообменник http://exfile.ru - и ссылку на форум

LFtr · 29.05.2010, 20:41

Спасибо огромное, winshelp, баннер исчез с экрана после выполнения скрипта в HiJackThis
Не могли бы Вы сказать, в чём была проблема?

У меня вопрос, я видел выполнения скрипта avz, видимо вирус забрался в Flash Player?
У меня на этой неделе в Opera перестал корректно работать именно Flash Player и сам браузер периодически удалялся, точнее его исполнительный файл, этого же не должно быть, явно.

Вот архив virusinfo_syscheck.zip по стандартному скрипту №2 в avz - http://exfile.ru/104368

01pump · 29.05.2010, 20:48

LFtr,
Этот файл http://exfile.ru/103491 сохранить вот так: C:\sfcfiles.dll
Только после этого выполните следующий скрипт

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RenameFile('C:\WINDOWS\system32\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.bak');
CopyFile('C:\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\mssfc.dll');
DeleteFile('C:\WINDOWS\system32\sfcfiles.bak');
BC_DeleteFile('C:\WINDOWS\system32\mssfc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

LFtr · 29.05.2010, 21:04

Файл сохранил, скрипт запустил, компьютер перезагрузился.
Понадобится ли этот .dll файл в дальнейшем или можно его удалить?

стандартный скрипт №2 - архив virusinfo_syscheck.zip http://exfile.ru/104373

snifer67 · 29.05.2010, 21:06

В логе чисто. Файл можете удалить.

становите SP3(может потребоваться активация)+все последующие обновления

LFtr · 29.05.2010, 21:08

Кстати установку sp3 постоянно откладывал на потом

Спасибо, добрые люди, очень помогли!

29.05.2010, 16:34	#1 (ссылка)
LFtr Новичок Регистрация: 29.05.2010 Сообщений: 8 Репутация: 0	Розовый баннер pornohub.com на рабочем столе Вот мой лог avz - http://exfile.ru/104309 HiJackThis http://exfile.ru/104313 и вот ещё один лог HiJack'a http://exfile.ru/104315 но в avz обновить базу я не сумел, сайты типа drweb, касперский и т.д. заблокированы, следовательно и не обновиться.. Помогите, пожалуйста. P.S. баннер блокирует процесс "Выполнить" и мешает автоматически перезагружать компьютер, приходится перезагружать вручную, вылезает поверх всех программ, не даёт себя спрятать за края экрана.

29.05.2010, 20:48	#4 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	LFtr, Этот файл http://exfile.ru/103491 сохранить вот так: C:\sfcfiles.dll Только после этого выполните следующий скрипт Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); RenameFile('C:\WINDOWS\system32\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.bak'); CopyFile('C:\sfcfiles.dll','C:\WINDOWS\system32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\system32\mssfc.dll'); DeleteFile('C:\WINDOWS\system32\sfcfiles.bak'); BC_DeleteFile('C:\WINDOWS\system32\mssfc.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После перезагрузки выполните стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Баннер на рабочем столе	doit	Безопасность	3	03.08.2010 14:18
Баннер на рабочем столе	nikit13	Безопасность	5	10.07.2010 21:25
Баннер на рабочем столе	Fender-09	Безопасность	2	14.06.2010 19:29
Баннер на рабочем столе	королева	Безопасность	46	14.06.2010 18:25
Баннер на рабочем столе !	maksutra	Безопасность	6	24.05.2010 11:20
Баннер на рабочем столе	Nasia	Безопасность	39	29.04.2010 15:37
Баннер на рабочем столе	Fiona	Безопасность	3	21.04.2010 20:40
Огромный розовый порно банер на рабочем столе	Люб	Безопасность	31	22.03.2010 17:09
Розовый баннер на рабочем столе	[KOT9PA]	Безопасность	17	30.01.2010 12:04
баннер на рабочем столе	boec3	Безопасность	5	11.01.2010 17:36
баннер на рабочем столе	Walther	Безопасность	12	10.01.2010 16:38

29.05.2010, 20:41	#3 (ссылка)
LFtr Новичок Регистрация: 29.05.2010 Сообщений: 8 Репутация: 0	Спасибо огромное, winshelp, баннер исчез с экрана после выполнения скрипта в HiJackThis Не могли бы Вы сказать, в чём была проблема? У меня вопрос, я видел выполнения скрипта avz, видимо вирус забрался в Flash Player? У меня на этой неделе в Opera перестал корректно работать именно Flash Player и сам браузер периодически удалялся, точнее его исполнительный файл, этого же не должно быть, явно. Вот архив virusinfo_syscheck.zip по стандартному скрипту №2 в avz - http://exfile.ru/104368

29.05.2010, 21:04	#5 (ссылка)
LFtr Новичок Регистрация: 29.05.2010 Сообщений: 8 Репутация: 0	Файл сохранил, скрипт запустил, компьютер перезагрузился. Понадобится ли этот .dll файл в дальнейшем или можно его удалить? стандартный скрипт №2 - архив virusinfo_syscheck.zip http://exfile.ru/104373

29.05.2010, 21:06	#6 (ссылка)
snifer67 Стажёр Регистрация: 11.04.2010 Сообщений: 977 Репутация: 96	В логе чисто. Файл можете удалить. становите SP3(может потребоваться активация)+все последующие обновления

29.05.2010, 21:08	#7 (ссылка)
LFtr Новичок Регистрация: 29.05.2010 Сообщений: 8 Репутация: 0	Кстати установку sp3 постоянно откладывал на потом Спасибо, добрые люди, очень помогли!

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads