Как удалить вирус pornohub ?

[Nevskiy]

Подскажите, что делать. Подхватили информер от pornohub.ru. Пароля разблокировки не было, удалял с помощью cureit. Систему почистил, теперь ничего нет, но он все равно появляется через некоторое время. При запуске AVZ перезагрузка. Что делать?

Вот логи http://exfile.ru/101840

[01pump]

Nevskiy,
Запустите http://exfile.ru/91139 Gmer(1c24.exe). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)

Код:

 
1c24.exe -del file "C:\WINDOWS\system32\p.dll"
1c24.exe -del file "C:\WINDOWS\system32\ptjyjf.dlll"
1c24.exe -reboot

После перезагрузки сделайте новые логи RSIT и попробуйте запустить avz

[Nevskiy]

01pump, сделал. Запускаю rsit после перезагрузки, выбираю 3 месяца, и continue. появляется прогресс который останавливается на runnung hijacks tools и вылетает, затем перзагрузка эксплорера. Логи не сделать. AVZ не запустить...

[01pump]

Nevskiy,
Сделайте лог hijackthis кнопкой Open the Misc Tools section далее Generate Startuplist log и пришлите его.

ЗЫ В RSIT попробуйте уменьшить сроки до месяца
ЗЫ №2 В Безопасном режиме пробовали запустить?
ЗЫ №3 RSIT переименовывали?

[Nevskiy]

Цитата:

Сообщение от 01pump

Сделайте лог hijackthis кнопкой Open the Misc Tools section далее Generate Startuplist log и пришлите его.

Простите, не понял, а где это?

Цитата:

Сообщение от 01pump

Ы В RSIT попробуйте уменьшить сроки до месяца

Пробовал, тоже самое.

Цитата:

Сообщение от 01pump

ЗЫ №2 В Безопасном режиме пробовали запустить?

До безопасного режима не добраться, перезагрузка в середине запуска.

Цитата:

Сообщение от 01pump

ЗЫ №3 RSIT переименовывали?

сейчас попробую

[01pump]

Цитата:

Сообщение от Nevskiy

Простите, не понял, а где это?

Утилитку Hijackthis в инструкции скачайте (только именно портабельную версию!!!!).
Запустите её , увидите в окне программы кнопку Open the Misc Tools section ну а далее по написанному

[Nevskiy]

01pump, получилось. Вот лог http://exfile.ru/101884

[01pump]

Nevskiy,
Вопросы к вам:
1) Утилитка 1c24.exe запускалась нормально? При выполнении писанины из сообщения #110 комп перезагружался штатно?
2) Это что за файл C:\48xb6yaf.exe в папке C:\48xb6yaf
3) запустить hijackthis кнопкой Open the Misc Tools section далее Open Ads spy и запустить Scan . По окончании нажать Save log и прислать его

[Nevskiy]

01pump,

1) Запустилась нормально. В логе написала all command execute, или что-то в этом роде. Машину перезагружал сам.
2) Это CureIt
3) log пустой

З.Ы Честно говоря уже не понимаю, где эта мерзость сидит...

[01pump]

Nevskiy,
Попробуйте запустить снова утилитку 1c24.exe и в меню нажав ">>>>" перейдите в редактор реестра.
Там пройдите по такому пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs и отредактируйте значение убрав там C:\WINDOWS\system32\p.dll после чего перезагрузитесь и попробуйте запустить avz и RSIT

[Nevskiy]

01pump, Ура!!!! Получилось! Запустил AVZ на проверку диска С. Диспетчер задач пока заблокирован, но это не проблема. Спасибо Вам огромное!

[01pump]

Nevskiy,
По этой http://pchelpforum.ru/f26/t6442/ инструкции сделайте лог в avz !!!

[Nevskiy]

Вот лог http://exfile.ru/101900

[01pump]

Nevskiy,

Выполните этот скрипт в avz

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\prodazhi.BASKKRIN\ctfmon.exe');
DeleteFile('E:\autorun.inf');
ExecuteSysClean;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DeleteFileMask('C:\WINDOWS\Temp','*.*',true);
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(12);
ExecuteRepair(17);
RebootWindows(true);
end.

После перезагрузки выполните новый лог Hijackthis и в avz стандартный скрипт №2 (virusinfo_syscheck.zip)

[01pump]

Nevskiy,

Кстати! На этой проблемной машине поменяйте все пароли. Абсолютно все!!!!!