Список

ПерваК · 08.11.12 20:39

Никто не сталкивался? Выскакивает при открытии половины окон баннер про штрафы ГИБДД, так же страница ВК подменивается фишинговой, где требует ввод телефона)
В hosts дописались куча ссылок глубоко внизу. Почистил, но при включении компьютера выскакивает пара мимолетных cmd-окон и сразу пропадают, заодно и в хостс опять дописываются.
Судя по гуглу с дня два назад у многих объявилась такая штука, причем антивирус не видит) в гугле все сводится к avz и скриптам, но я что-то не особо в курсе, что это) может есть другой вариант)

X@NDR0$ · 08.11.12 23:26

ПерваК написал(а):
при включении компьютера выскакивает пара мимолетных cmd-окон и сразу пропадают, заодно и в хостс опять дописываются.

буду кэпом, если скажу, что окна вписывают в хостс?))) посмари автозапуск утилитой autoruns от sysinternals, например. avz со скриптами действенно, когда знаешь ЧТО нужно удалять имхо. для начала это ЧТО нужно разыскать

ПерваК · 09.11.12 00:21

X@NDR0$ написал(а):
буду кэпом, если скажу, что окна вписывают в хостс?)))

ну это понятно, я просто максимально излагаю проблему =)
про авз вот меня и смущает его скрипт с карантином файлов)
завтра посмотрю через

X@NDR0$ написал(а):
sysinternals

X@NDR0$ · 09.11.12 12:53

ПерваК, скрипт для лечения уже размещен на вирусинфо:

Код::

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\WINDOWS\Temp\27434265FdOh');
 QuarantineFile('C:\Program Files\Common Files\microsoft shared\XAPc16gt.rov','');
 QuarantineFile('C:\Documents and Settings\User\0.8852332957329254.exe','');
 DeleteFile('C:\Documents and Settings\User\0.8852332957329254.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S18010343');
 DeleteFile('C:\Program Files\Common Files\microsoft shared\XAPc16gt.rov');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','27434312');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13); 
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end.

ПерваК · 09.11.12 18:56

X@NDR0$, msconfig глянул, а там в реестре во чу сидело))

cmd.exe /c copy C:\Users\4BDB~1\AppData\Local\Temp\18180387FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f

$up · 09.11.12 21:56

Я в таких случаях сначала добавляю в правах этого файла запрет на запуск всем, потом перезагружаюсь и вычищаю из реестра все ссылки на на этот зловред.

ПерваК · 10.11.12 10:47

$up, да удалил из реестра запись, нашел в темпе 18180387FdOh, удалил и все)) вторая перезагрузка уже без всяких проблем =)

#1 08.11.12 20:39

Новенький баннер clubrelaxxxx.com

#2 08.11.12 23:26

Re: Новенький баннер clubrelaxxxx.com

ПерваК написал(а):

#3 09.11.12 00:21

Re: Новенький баннер clubrelaxxxx.com

X@NDR0$ написал(а):

X@NDR0$ написал(а):

#4 09.11.12 12:53

Re: Новенький баннер clubrelaxxxx.com

Код::

#5 09.11.12 18:56

Re: Новенький баннер clubrelaxxxx.com

#6 09.11.12 21:56

Re: Новенький баннер clubrelaxxxx.com

#7 10.11.12 10:47

Re: Новенький баннер clubrelaxxxx.com

Пользователь

Список активных форумов

Банный лист

ФутЕр:)