Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   порно баннер (смс) на раб столе (http://forum.oszone.net/showthread.php?t=158318)

strey 26-11-2009 17:01 1280512
порно баннер (смс) на раб столе
 
Вложений: 2
Всем большой привет. Ситуация:
- загрузилась система, выбило несколько ошибок (память не может быть "реад"), через 5-25с появился баннер с порнофотками и предложением отправить смс. Он всегда "сверху", когда он висит я не могу открыть никакой ЕХЕшник, диспетчер задачь есесно тоже.
- загрузилась система, я по бырику вырубил нет - все чисто, НО:
а) вставил флешку - появился баннер, отключил юсб - баннер пропал
б) без флешки запускаю тотал или любое приложение с компа - появляется баннер
и т. д.
- в безопасном режиме баннер тоже висит.
кстати, на баннере написано что он от www.tut-foto.com Будьте осторожны :)
естественно проверялся куритом, авастом, нодом.
Исходя из того что не нашел подобного в интернете, прошу помощи. За сегодня позвонило 3 друга и 2 подруги с такой же проблемой, буду помогать
с горем пополам получил логи, в вордовском файле фотки ошибок (ниче другое не открывалось :) ):

thyrex 26-11-2009 17:16 1280536
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O20 - AppInit_DLLs: C:\WINDOWS\system32\PVuHm.dll
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\PVuHm.dll','');
 DeleteFile('C:\WINDOWS\system32\PVuHm.dll');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

strey 26-11-2009 18:54 1280629
сделал, помогло.
Отправил карантин.
хотя QuarantineFile('G:\autorun.inf' лишнее наверное было :)
у меня флешка продезинфицирована FlashDesinfector-ом

iskander-k 26-11-2009 20:00 1280680
Цитата:
Цитата strey
хотя QuarantineFile('G:\autorun.inf' лишнее наверное было
у меня флешка продезинфицирована FlashDesinfector-ом »
Не лишнее.
Можете ещё раз обработать FlashDesinfector-ом.

Drongo 26-11-2009 20:09 1280688
strey, Проверьте запуск диспетчера задач и редактора реестра. Если запускаются, то порядок. И конечно же
Цитата:
Цитата thyrex
Сделайте новые логи »

strey 27-11-2009 18:34 1281459
Вложений: 1
всем спасибо.
реестр и деспетчер пофиксил после лечения.
сегодня почистил еще один комп с таким же. Ехе-шник тот же, а длл-ка другая. к сожалению не смог сохранить - лечил по памяти.

мои новые логи:


ПЫСЫ: а касперские должны ответить?

thyrex 28-11-2009 11:48 1281916
Цитата:
>> Заблокированы настройки системы System Restore
Если это сделал вирус, а не Вы, тогда исправьте через AVZ - Файл - Мастер поиска и устранения проблем - отметить указанный пункт - Исправить

Больше ничего плохого не видно

Возможно, один из файлов относился к ворователям паролей к платежным системам(у Вас WebMoney) . Поэтому настоятельно рекомендуется сменить все пароли


Время: 16:05.

Время: 16:05.
© OSzone.net 2001-