Еще раз про вирус www.pornohub.com номер 3381

stasmat · 30.05.2010, 03:43

Уже видел здесь такую же жалобу, но в соответствии с правилами создаю отдельную тему.
Информер с приглашением на pornohub.com блокиовал доступ к сайтам антивирусов, настройкам реестра, системным консолям (я хотел сбросить политики запрещающие восстановление системы), при попытке зайти в папку с авз - ребутил комп, когда я переименовал авз в другое имя - зайти в папку получалось, но при попытке запуска ничего не происходило. Код деактивации для своего номера я не нашел, необъяснимым шаманством вызвал синий экран смерти. После ребута информер пропал, доктор веб подгрузился и стало возможным запустить avz.

Вот лог: http://exfile.ru/104452

Сейчас пока вроде всё нормально, НО! Не мог зайти на сайты антивирусов и в частности на этот форум. Однако, когда прописал у браузера прокси - сайты заработали. hosts чистый. Может это быть связано с вирусом? Или это просто в модеме что-то сбилось,т.к. я выходил в инет с ноута путем простого втыкания в него адсл шланга. Модем и комп перегружал - ситуация не меняется.

Заранее благодарен.

winshelp · 30.05.2010, 03:52

stasmat, здравствуйте.
Отключите компьютер от Интернет/локалки.
Закройте/отключите на время выполнения скрипта всё защитное ПО !!!
Закройте/выгрузите все программы кроме AVZ.
Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/

AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\JVCXKCG.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\fAHEX4w.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\JVCXKCG.exe');
DeleteFile('\\?\globalroot\systemroot\system32\fAHEX4w.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
-----
Выполнить еще такой скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by
-----
Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip
залейте на файлообменник http://exfile.ru - и ссылку на форум + приложите лог HiJackThis.
Так же прокоментируйте что у вас за файл:
d:\777\12313123123123\12\12.exe

stasmat · 30.05.2010, 13:57

quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by - сделано
virusinfo_syscheck.zip - http://exfile.ru/104482
лог HiJackThis - http://exfile.ru/104486

d:\777\12313123123123\12\12.exe - это AVZ, он был переименован еще в самом начале битвы, т.к. пока он назывался своим именем до него было невозможно добраться ни через проводник ни через командную строку - информер начинал перезагружать систему при виде папки или файл с именем avz.

winshelp · 30.05.2010, 14:08

stasmat.
Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/
Профиксите в HiJackThis:

Код:

 
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,\?globalrootsystemrootsystem32JVC XKCG.exe,\?globalrootsystemrootsystem32fAHEX4w.exe,
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

Перегрузите компьютер, сделайте свежий лог HiJackThis.

stasmat · 30.05.2010, 14:37

пофиксил
новый лог: http://exfile.ru/104499

winshelp · 30.05.2010, 14:51

То что было нужно, успешно профиксилось!!!
Ни чего плохого не увидел - чисто.

stasmat · 30.05.2010, 14:57

winshelp, Спасибо огромное! Да прибудет с тобой Сила!

пушистик · 01.06.2010, 15:09

Уважаемые специалисты помогите избавиться от трояна мошенников: просят выслать смс .

Пишу в этом топе так как схожесть с проблемой автора 99 процентная.

Вот скрин рабочего стола http://slil.ru/29246529, а вот логи AVZ http://slil.ru/29246524, щас вроде комп работает и в интернет даж зашел после очередного ребута , но опасаюсь что троян еще жив в системе . Пожалуйста помогите мне , обещаю что не буду просматривать все сайты с Javascript включенным =)

присоединяю hijackthis.log http://slil.ru/29246559

01pump · 01.06.2010, 15:14

пушистик,

Поиском воспользоваться влом да?

Вот ваша тема http://pchelpforum.ru/f26/t29087/

А данную тему закрою чтоб не постили где попало

30.05.2010, 03:43	#1
stasmat Новичок Регистрация: 30.05.2010 Сообщений: 6 Репутация: 0	Еще раз про вирус www.pornohub.com номер 3381 Уже видел здесь такую же жалобу, но в соответствии с правилами создаю отдельную тему. Информер с приглашением на pornohub.com блокиовал доступ к сайтам антивирусов, настройкам реестра, системным консолям (я хотел сбросить политики запрещающие восстановление системы), при попытке зайти в папку с авз - ребутил комп, когда я переименовал авз в другое имя - зайти в папку получалось, но при попытке запуска ничего не происходило. Код деактивации для своего номера я не нашел, необъяснимым шаманством вызвал синий экран смерти. После ребута информер пропал, доктор веб подгрузился и стало возможным запустить avz. Вот лог: http://exfile.ru/104452 Сейчас пока вроде всё нормально, НО! Не мог зайти на сайты антивирусов и в частности на этот форум. Однако, когда прописал у браузера прокси - сайты заработали. hosts чистый. Может это быть связано с вирусом? Или это просто в модеме что-то сбилось,т.к. я выходил в инет с ноута путем простого втыкания в него адсл шланга. Модем и комп перегружал - ситуация не меняется. Заранее благодарен.

30.05.2010, 03:52	#2
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	stasmat, здравствуйте. Отключите компьютер от Интернет/локалки. Закройте/отключите на время выполнения скрипта всё защитное ПО !!! Закройте/выгрузите все программы кроме AVZ. Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/ AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\\?\globalroot\systemroot\system32\JVCXKCG.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\fAHEX4w.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe',''); DeleteFile('\\?\globalroot\systemroot\system32\JVCXKCG.exe'); DeleteFile('\\?\globalroot\systemroot\system32\fAHEX4w.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\svchost.exe'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); BC_ImportALL; ExecuteSysClean; ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. ----- Выполнить еще такой скрипт в AVZ. Код: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by ----- Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip залейте на файлообменник http://exfile.ru - и ссылку на форум + приложите лог HiJackThis. Так же прокоментируйте что у вас за файл: d:\777\12313123123123\12\12.exe

30.05.2010, 14:08	#4
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	stasmat. Как выполнять скрипт и фиксить смотрим здесь: http://pchelpforum.ru/f26/t24207/ Профиксите в HiJackThis: Код: F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,\?globalrootsystemrootsystem32JVC XKCG.exe,\?globalrootsystemrootsystem32fAHEX4w.exe, O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll Перегрузите компьютер, сделайте свежий лог HiJackThis.

01.06.2010, 15:09	#8
пушистик Новичок Регистрация: 01.06.2010 Сообщений: 3 Репутация: 0	Уважаемые специалисты помогите избавиться от трояна мошенников: просят выслать смс . Пишу в этом топе так как схожесть с проблемой автора 99 процентная. Вот скрин рабочего стола http://slil.ru/29246529, а вот логи AVZ http://slil.ru/29246524, щас вроде комп работает и в интернет даж зашел после очередного ребута , но опасаюсь что троян еще жив в системе . Пожалуйста помогите мне , обещаю что не буду просматривать все сайты с Javascript включенным =) присоединяю hijackthis.log http://slil.ru/29246559 Последний раз редактировалось пушистик; 01.06.2010 в 15:10. Причина: 1 сообщение пропало куда то - пришлось сегодня написать повтор.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Банер на номер 3381 с текстом 1860101502127	Alex-33	Безопасность	11	07.07.2010 23:25
текст 35401114 на номер 3381	Tanya Nikitina	Безопасность	1	01.07.2010 18:47
Банер pornohub.com 3381 с текстом 35301017	Valenciy	Безопасность	2	24.06.2010 21:44
Порно банер на номер 3381	Blade354	Безопасность	6	17.06.2010 17:16
Информер 16216617424 на номер 3381, коды не помогли	need_help	Безопасность	5	12.06.2010 16:56
Баннер www.pornhub.com с текстом 1830171201106 на номер 3381	Adik	Безопасность	1	09.06.2010 12:39
Баннер с текстом 9536823 на номер 3381	Гекон	Безопасность	10	03.06.2010 15:11
Баннер pornohub.com, смс на номер 3381	aistoff	Безопасность	9	31.05.2010 19:05
Неубиваемый баннер. SMS на номер 3381 с текстом М201017332	Vist	Безопасность	41	19.05.2010 20:36
Баннер: смс с текстом T701016000 на номер 3381	wisem	Безопасность	48	19.05.2010 01:19
Баннер : текст 151133 9 на номер 3381	xwolfx	Безопасность	3	16.05.2010 17:19

30.05.2010, 13:57	#3
stasmat Новичок Регистрация: 30.05.2010 Сообщений: 6 Репутация: 0	quarantine.zip из папки AVZ обязательно отправьте на newvirus@tut.by - сделано virusinfo_syscheck.zip - http://exfile.ru/104482 лог HiJackThis - http://exfile.ru/104486 d:\777\12313123123123\12\12.exe - это AVZ, он был переименован еще в самом начале битвы, т.к. пока он назывался своим именем до него было невозможно добраться ни через проводник ни через командную строку - информер начинал перезагружать систему при виде папки или файл с именем avz.

30.05.2010, 14:37	#5
stasmat Новичок Регистрация: 30.05.2010 Сообщений: 6 Репутация: 0	пофиксил новый лог: http://exfile.ru/104499

30.05.2010, 14:51	#6
winshelp Знаток Регистрация: 20.10.2008 Сообщений: 2,863 Записей в блоге: 2 Репутация: 164	То что было нужно, успешно профиксилось!!! Ни чего плохого не увидел - чисто.

30.05.2010, 14:57	#7
stasmat Новичок Регистрация: 30.05.2010 Сообщений: 6 Репутация: 0	winshelp, Спасибо огромное! Да прибудет с тобой Сила!

01.06.2010, 15:14	#9
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	пушистик, Поиском воспользоваться влом да? Вот ваша тема http://pchelpforum.ru/f26/t29087/ А данную тему закрою чтоб не постили где попало

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads