Технический форум

Технический форум (http://www.tehnari.ru/)
-   Форум по вирусам и антивирусам (http://www.tehnari.ru/f183/)
-   -   Баннер в браузере (http://www.tehnari.ru/f183/t85925/)

Sony 03.03.2013 18:25
Баннер в браузере
 
Вложений: 3
знакомый подцепил банер в браузере через секунд 20 он исчезает, при нажатии любой кнопки высвечивается сообщение: ??????? ????????? ????? ???????? ( ????. 79026819243 )
отмечные пункты 3 и 4
где какой лог я незнаю:tehnari_ru_942:
логи авз :

safety 03.03.2013 19:02
Выполните скрипт в AVZ:

Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\kwebbjc.dll','');
 DeleteFile('C:\WINDOWS\system32\kwebbjc.dll');
 DeleteFile('D:\System Volume Information\_restore{F5BCFE5B-25FA-464F-8161-A932599CA003}\RP18\A0002998.exe');
 DeleteFile('D:\System Volume Information\_restore{F5BCFE5B-25FA-464F-8161-A932599CA003}\RP23\A0015664.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
end.
Компьютер перезагрузится.
далее,
добавьте образ автозапуска
http://www.tehnari.ru/f150/t81269/

safety 03.03.2013 23:11
уточняю скрипт в AVZ

Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\kwebbjc.dll','');
 DeleteFile('D:\System Volume Information\_restore{F5BCFE5B-25FA-464F-8161-A932599CA003}\RP18\A0002998.exe');
 DeleteFile('D:\System Volume Information\_restore{F5BCFE5B-25FA-464F-8161-A932599CA003}\RP23\A0015664.exe');
 DeleteFile('C:\WINDOWS\system32\kwebbjc.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Sony 04.03.2013 15:07
Вложений: 1
вот образ автозапуска, и ещё вапрос этот банер не перепрыгнет в мой комп если я его делаю через teamviewer

safety 04.03.2013 16:37
скорее, лягушка перепрыгнет по vpn каналу с одного компа на другой :) -------- образ сейчас гляну

safety 04.03.2013 16:41
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код:
;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delref HTTP://WEBALTA.RU/SEARCH
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполнить быстрое сканирование в мбам
http://www.tehnari.ru/f150/t81927/

Sony 04.03.2013 18:45
Цитата:
Сообщение от ~safety (Сообщение 875558)
скорее, лягушка перепрыгнет по vpn каналу с одного компа на другой :) -------- образ сейчас гляну
мне повезло меня это не касается, не знаю как но пока что не чё не перешло ни единого вируса изменений в журнале нет:tehnari_ru_509:
на счёт проблем сейчас посмотрим, сейчас выполнил скрипт, баннер и после первого исчез, а сейчас я так понимаю остатки удалились, в общем всё хорошо с компом)))

safety 05.03.2013 07:21
после зачистки рекомендуем сделать http://www.tehnari.ru/f150/t83677/


Часовой пояс GMT +4, время: 23:22.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.