Розовый баннер на рабочем столе

[KOT9PA] · 17.01.2010, 15:08

здравствуйте. племянник столкнулся с "любимым" розовым баннером. он блокирует оперу и интернет эксплорер. даже перезагрузка и выключение компа не работает

помогите пожалуйста

Гризлик · 17.01.2010, 15:44

[KOT9PA], Делаейте как тут написано http://pchelpforum.ru/f26/t6442/ и выложите сюда логи (файл virusinfo_syscure.zip) Вылечим!

[KOT9PA] · 17.01.2010, 15:46

проблема вся в том что я не могу скрипты запустить, потому что окно под порнобаннер убирается. и лупу открыть не могу. вообще ничего не помогает

Гризлик · 17.01.2010, 15:49

[KOT9PA], Тогда только так как там написано во втором посте. А именно:

Код:

В случае невозможности загрузки Windows ни в обычном режиме, ни в Безопасном режиме (SafeMode) логи можно выполнить загрузившись с LiveCD WinPE поддерживающей работу с удаленным реестром:
1) версия размером 64 МБ http://exfile.ru/file/74614 без антивируса 
2) версия размером 116 МБ http://webfile.ru/4234401 включающая ERD Commander и NOD32 (базы от 15.01.2010)

Для этого необходимо предварительно записать утилиты avz и hijackthis на флешку или другой раздел жесткого диска (другую установленную Windows). Затем загрузившись с этого LiveCD выбрать папки с содержащимися в них утилитами и затем кликнув правой кнопкой мышки по исполнительному файлу avz.exe или hijackthis.exe в появившемся контекстном меню выбрать "Запустить с удаленным реестром". Далее появится окно с выбором учетных записей больной системы. Надо выбрать Администратор и запустить утилиты. 
Далее в меню программы avz выбрать: Файл-Исследование системы. В разделе Службы и драйверы вместо "Только активные службы и драйверы" выбрать "Все службы и драйверы", в разделе Параметры дополнительно установить птичку "Создать ZIP архив с протоколом" и затем запустить исследование. 
По окончании исследования получится протокол avz_sysinfo.htm Этот протокол необходимо будет предоставить для анализа.
Утилитку Hijackthis запустить аналогично avz . В результате получится логфайл hijackthis.log Его тоже предоставить для анализа.

Данный способ гарантирует избавление от вирусов-вымогателей блокирующих загрузку Windows с требованием отправки sms

[KOT9PA] · 17.01.2010, 17:18

вышел в бесопасный режим и отсканировал с помощью avz. вот результат сканирования 3 скрипта http://exfile.ru/78341 . помогите плиз

Гризлик · 17.01.2010, 18:03

[KOT9PA], Запустите AVZ В меню Файл--Выполнить скрипт В окошко вставьте текст:

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
 DelBHO('{0026439F-A980-4f18-8C95-4F1CBBF9C1D8}');
 DelBHO('{000002a3-84fe-43f1-b958-f2c3ca804f1a}');
 DeleteFile('C:\Program Files\plugin.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
 DeleteFile('C:\WINDOWS.0\System32\netprotocol.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
 DeleteFile('C:\Program Files\Garena\update.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

И нажмите Запустить. Произойдет перезагрузка. После перехагрузки выполнить в AVZ Обновление баз (Файл--Обновление баз) и стандартный скрипт 2 и выложите лог(файл virusinfo_syschek.zip)

[KOT9PA] · 17.01.2010, 18:15

вышел в обвсный режим загрузки и баннера нет. вот для проверки лог http://exfile.ru/78350. спасибо огромное! на душе сразу легче

---------- Добавлено в 18:15 ---------- Предыдущее сообщение было написано в 18:14 ----------

а еще вопрос. можно ту игру запускать чтобы играть или луччше ее удалить?

Гризлик · 17.01.2010, 18:34

[KOT9PA], Проверьте файл C:\WINDOWS.0\System32\termsrv.dll на http://www.virustotal.com/ru/ Если вам скажут что этот файл проверялся, то всеравно проверьте. И о результатах отпишитесь

Цитата:

Сообщение от [KOT9PA]

а еще вопрос. можно ту игру запускать чтобы играть или луччше ее удалить?

Что за игра?

[KOT9PA] · 17.01.2010, 18:52

скачал disceples2 gold. там в архиве образ игры, ключ и фотка. установил игру и выскочил баннер.

---------- Добавлено в 18:52 ---------- Предыдущее сообщение было написано в 18:45 ----------

Файл termsrv.dll получен 2010.01.17 14:48:28 (UTC)
Текущий статус: закончено
Результат: 0/41 (0%).
остальную дополнительную информацию нужно?

Гризлик · 17.01.2010, 19:04

Цитата:

Сообщение от [KOT9PA]

Файл termsrv.dll получен 2010.01.17 14:48:28 (UTC)
Текущий статус: закончено
Результат: 0/41 (0%).
остальную дополнительную информацию нужно?

Значит все нормально! Можно закончить.

Цитата:

Сообщение от [KOT9PA]

скачал disceples2 gold. там в архиве образ игры, ключ и фотка. установил игру и выскочил баннер.

Ну если он после установки игры выплыл, то лучше не рисковать и её удалить. Можно попробывать скачать её из другого источника.

[KOT9PA] · 17.01.2010, 19:07

спасибо большое за советы и помощь! игру удалю лучше от греха подальше

Anet04 · 30.01.2010, 09:55

Здраствуйте! Такая же проблема с розовым баннером! Помог ваш скрипт. Только теперь не могу найти файл для проверки C:\WINDOWS.0\System32\termsrv. Баннер ушел. Есть опасность возвращения? Вредоносную программу удалила. Переустановила браузеры.

---------- Добавлено в 09:55 ---------- Предыдущее сообщение было написано в 09:44 ----------

О! Нашла вот результаты: 2010.01.29 20:52:01 UTC [<1D]
0/41. Я так понимаю, что все в порядке? И все же не вернеться эта проблема снова? Как защититсья в бущем от таких сюрпризов? У меня стоит антивирус, правда месяц уже не обновляется.

Гризлик · 30.01.2010, 09:59

Цитата:

Сообщение от Anet04

Баннер ушел. Есть опасность возвращения? Вредоносную программу удалила. Переустановила браузеры.

Для профилактики сделайте еще раз стандартный скрипт 3 и выложите сюда.

Цитата:

Сообщение от Anet04

все же не вернеться эта проблема снова? Как защититсья в бущем от таких сюрпризов? У меня стоит антивирус, правда месяц уже не обновляется.

Антивирус должен ежедневно обновлятся! А так вот http://pchelpforum.ru/b10983/e113/

Anet04 · 30.01.2010, 11:13

Сделала стандартный скрипт 3. Вот результаты http://exfile.ru/81701

01pump · 30.01.2010, 11:24

Anet04,
Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
DeleteFile('C:\Documents and Settings\Anet\Application Data\AdSubscribe\AdSubscribe.dll');
ExecuteSysClean;
RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!
После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck и лог утилитки Hijackthis

Так же выполните следующее:
В меню avz:Сервис-Поиск данных в реестре- в поле Образец введите AdSubscribe и нажмите "Пуск" по окончании сохраните протокол и пришлите его.

17.01.2010, 15:08	#1
[KOT9PA] Новичок Регистрация: 03.01.2010 Сообщений: 53 Репутация: 1	Розовый баннер на рабочем столе здравствуйте. племянник столкнулся с "любимым" розовым баннером. он блокирует оперу и интернет эксплорер. даже перезагрузка и выключение компа не работает помогите пожалуйста

17.01.2010, 18:03	#6
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	[KOT9PA], Запустите AVZ В меню Файл--Выполнить скрипт В окошко вставьте текст: Код: begin SetAVZGuardStatus(True); SearchRootkit(true, true); DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}'); DelBHO('{0026439F-A980-4f18-8C95-4F1CBBF9C1D8}'); DelBHO('{000002a3-84fe-43f1-b958-f2c3ca804f1a}'); DeleteFile('C:\Program Files\plugin.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin'); DeleteFile('C:\WINDOWS.0\System32\netprotocol.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll'); DeleteFile('C:\Program Files\Garena\update.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. И нажмите Запустить. Произойдет перезагрузка. После перехагрузки выполнить в AVZ Обновление баз (Файл--Обновление баз) и стандартный скрипт 2 и выложите лог(файл virusinfo_syschek.zip) Последний раз редактировалось Гризлик; 17.01.2010 в 20:29.

30.01.2010, 11:24	#15
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Anet04, Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}'); DeleteFile('C:\Documents and Settings\Anet\Application Data\AdSubscribe\AdSubscribe.dll'); ExecuteSysClean; RebootWindows(true); end. затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck и лог утилитки Hijackthis Так же выполните следующее: В меню avz:Сервис-Поиск данных в реестре- в поле Образец введите AdSubscribe и нажмите "Пуск" по окончании сохраните протокол и пришлите его.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Баннер на рабочем столе	Nasia	Безопасность	8	02.07.2010 17:53
Баннер на рабочем столе	Fender-09	Безопасность	2	14.06.2010 19:29
Баннер на рабочем столе	awer2	Безопасность	2	05.06.2010 17:20
Розовый баннер pornohub.com на рабочем столе	LFtr	Безопасность	6	29.05.2010 21:08
Баннер на рабочем столе	Tata4ka	Безопасность	17	14.05.2010 16:38
Баннер на рабочем столе	Васька-Васька	Безопасность	3	15.04.2010 22:52
Огромный розовый порно банер на рабочем столе	Люб	Безопасность	31	22.03.2010 17:09
баннер на рабочем столе	Walther	Безопасность	12	10.01.2010 16:38
Баннер на рабочем столе	bosenkov5	Безопасность	3	09.01.2010 23:45
баннер на рабочем столе	bifi	Безопасность	4	05.01.2010 23:50

17.01.2010, 15:44	#2
Гризлик Эксперт Регистрация: 08.09.2009 Сообщений: 10,716 Репутация: 960	[KOT9PA], Делаейте как тут написано http://pchelpforum.ru/f26/t6442/ и выложите сюда логи (файл virusinfo_syscure.zip) Вылечим!

17.01.2010, 15:46	#3
[KOT9PA] Новичок Регистрация: 03.01.2010 Сообщений: 53 Репутация: 1	проблема вся в том что я не могу скрипты запустить, потому что окно под порнобаннер убирается. и лупу открыть не могу. вообще ничего не помогает

17.01.2010, 17:18	#5
[KOT9PA] Новичок Регистрация: 03.01.2010 Сообщений: 53 Репутация: 1	вышел в бесопасный режим и отсканировал с помощью avz. вот результат сканирования 3 скрипта http://exfile.ru/78341 . помогите плиз

17.01.2010, 18:15	#7
[KOT9PA] Новичок Регистрация: 03.01.2010 Сообщений: 53 Репутация: 1	вышел в обвсный режим загрузки и баннера нет. вот для проверки лог http://exfile.ru/78350. спасибо огромное! на душе сразу легче ---------- Добавлено в 18:15 ---------- Предыдущее сообщение было написано в 18:14 ---------- а еще вопрос. можно ту игру запускать чтобы играть или луччше ее удалить?

17.01.2010, 18:52	#9
[KOT9PA] Новичок Регистрация: 03.01.2010 Сообщений: 53 Репутация: 1	скачал disceples2 gold. там в архиве образ игры, ключ и фотка. установил игру и выскочил баннер. ---------- Добавлено в 18:52 ---------- Предыдущее сообщение было написано в 18:45 ---------- Файл termsrv.dll получен 2010.01.17 14:48:28 (UTC) Текущий статус: закончено Результат: 0/41 (0%). остальную дополнительную информацию нужно?

17.01.2010, 19:07	#11
[KOT9PA] Новичок Регистрация: 03.01.2010 Сообщений: 53 Репутация: 1	спасибо большое за советы и помощь! игру удалю лучше от греха подальше

30.01.2010, 09:55	#12
Anet04 Новичок Регистрация: 29.01.2010 Сообщений: 165 Репутация: 2	Здраствуйте! Такая же проблема с розовым баннером! Помог ваш скрипт. Только теперь не могу найти файл для проверки C:\WINDOWS.0\System32\termsrv. Баннер ушел. Есть опасность возвращения? Вредоносную программу удалила. Переустановила браузеры. ---------- Добавлено в 09:55 ---------- Предыдущее сообщение было написано в 09:44 ---------- О! Нашла вот результаты: 2010.01.29 20:52:01 UTC [<1D] 0/41. Я так понимаю, что все в порядке? И все же не вернеться эта проблема снова? Как защититсья в бущем от таких сюрпризов? У меня стоит антивирус, правда месяц уже не обновляется.

30.01.2010, 11:13	#14
Anet04 Новичок Регистрация: 29.01.2010 Сообщений: 165 Репутация: 2	Сделала стандартный скрипт 3. Вот результаты http://exfile.ru/81701

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads