Вирус с порнобанером блокирует систему

[dimaster]

Привет знатокам!
Принесли мне вчера ноут, попросили почистить комп в целом и убрать навязчивый порнобанер, который переодически появляется и мешает работать. *Ну думаю, минутное дело, плавали, знаем, а не тут то было.
Собака не то что бы непонятно где порылась, а главное не понятно, собака ли это была вовсе. *При чём была и осталась )))))

В итоге, 4 часа поисковой деятельности в гугле и последующих проведений экспериментов с ноутом ни к чему не привели.....
Сейчас сижу на работе и продолжаю истерить по этому поводу )))
Винду то я снесу и всё настрою, но уж больно охота посмотреть на мегахитрый замысел сего поселившегося чуда и еже с ним....

Я понимаю что наверно всё гораздо проще, но уже безрезультатно были предприняты следующие действия:

В защищённом режиме с поддержкой сети, ноут по сети проверялся на вирусы и наличие spyware программами: NOD32ESS4, NetGate Spy Emergency, Loaris Trojan Remover. В результате всего с десяток троянов. По второму и третьему циклу всё чисто, но проблема осталась.*
*
Следующие программы при попытке их запуска на зараженноё машине,
оказались блокированы: autoruns, anvir, hijackthis (ноут уходил в завершение работы) и quickkill (на неё была вся надежда )))))) а так же различные advanced task менеджеры самопроизвольно закрывались через секунду после открытия... даже CMD блокированааааааа )))

Remoteprocess (программа для просмотра удаленных процессов по сети)
хорошая вещь, но не сработала, т.к. на удалённой (зараженной машине) должно быть настроено разрешение на удаленный запуск DCOM...

Что самое хитрое в этом всём, эта гадость различает имена файлов,
а именно когда по сети переписываю на зараженный ноут файл anvir.exe в корневую папку, то его там не оказывается после записи ))))
если переименовать к примеру в 345535.exe , то переписывается, но блочится как и все. а ещё как выяснилось, она (гадость) убила нод который был на этой машине )))))

Сижу на работе, рыдаю )))))))
У меня остался один вариант, поставить Каспера 2010 и по сети прогнать
ноут ещё раз.
Каспера уже скачал, рыдая скачивал....рыдаййаааа... )))))

У кого ещё есть варианты борьбы в неравном бою, предлагайте )))

[TranceDance]

malware bytes anti-malware ( в безопасном режиме )

[Валерьян]

sistemy pereystanovit. on poka ne lechitsa.

[psvpsv]

не оно?
http://crimea-board.net/index.php?showtopic=24415&st=20

А тут вроде как полечили.
http://virusinfo.info/showthread.php?t=61591

[Gobzavr]

Через AVZ или cure it с легкостью лечится
Только лечить надо из под livecd

[Руслан... Просто Руслан.]

Такой полупрозрачный банер почти во весь экран с писюнами? )))) Лечили в прошлый понедельник, Каспер его ещё не знал. Вылечили под вечер аж, искать надо файлы размером ~130 Кб, точнее уже не помню. В понедельник же вечером отправили касперу файло это; во вторник он уже знал об этой гадости. Так что качайте каспера и валите им.

[VETALLZZZ]

Привет знатокам!
Принесли мне вчера ноут, попросили почистить комп в целом и убрать навязчивый порнобанер, который переодически появляется и мешает работать. *Ну думаю, минутное дело, плавали, знаем, а не тут то было.
Собака не то что бы непонятно где порылась, а главное не понятно, собака ли это была вовсе. *При чём была и осталась )))))

В итоге, 4 часа поисковой деятельности в гугле и последующих проведений экспериментов с ноутом ни к чему не привели.....
Сейчас сижу на работе и продолжаю истерить по этому поводу )))
Винду то я снесу и всё настрою, но уж больно охота посмотреть на мегахитрый замысел сего поселившегося чуда и еже с ним....

Я понимаю что наверно всё гораздо проще, но уже безрезультатно были предприняты следующие действия:

В защищённом режиме с поддержкой сети, ноут по сети проверялся на вирусы и наличие spyware программами: NOD32ESS4, NetGate Spy Emergency, Loaris Trojan Remover. В результате всего с десяток троянов. По второму и третьему циклу всё чисто, но проблема осталась.*
*
Следующие программы при попытке их запуска на зараженноё машине,
оказались блокированы: autoruns, anvir, hijackthis (ноут уходил в завершение работы) и quickkill (на неё была вся надежда )))))) а так же различные advanced task менеджеры самопроизвольно закрывались через секунду после открытия... даже CMD блокированааааааа )))

Remoteprocess (программа для просмотра удаленных процессов по сети)
хорошая вещь, но не сработала, т.к. на удалённой (зараженной машине) должно быть настроено разрешение на удаленный запуск DCOM...

Что самое хитрое в этом всём, эта гадость различает имена файлов,
а именно когда по сети переписываю на зараженный ноут файл anvir.exe в корневую папку, то его там не оказывается после записи ))))
если переименовать к примеру в 345535.exe , то переписывается, но блочится как и все. а ещё как выяснилось, она (гадость) убила нод который был на этой машине )))))

Сижу на работе, рыдаю )))))))
У меня остался один вариант, поставить Каспера 2010 и по сети прогнать
ноут ещё раз.
Каспера уже скачал, рыдая скачивал....рыдаййаааа... )))))

У кого ещё есть варианты борьбы в неравном бою, предлагайте )))

Димон шо у тебя за юзверя?!
ПС: Norton 360, если б еще винт подрубить к другому компу.... Из оси наверное не получится
ПС2: Format винт:
такого еще не было )))))))))))))))))

[Каркун]

украинский антивирус Zillya поймал и все вылечил

[Gobzavr]

если б еще винт подрубить к другому компу...

не надо так делать. в неумелых руках можно получить две инфицированные системы. лучше из под ливсд

[MaJ0r]

+1 к Gobzavr Чем пользуешься? Что сейчас самое актуальное - Hirens Boot CD, NervoOS или еще что? )

[Gobzavr]

Да хз, чего то на основе Барта себе наваял. Вот тем и пользуюсь
Мне под барта надо акронис тру имж, диск директор и тотал
Все

Все остальное не из под барта делается уже

А HBCD у меня на 8ISO диске есть.

[DRA]

+1 к Gobzavr Чем пользуешься? Что сейчас самое актуальное - Hirens Boot CD, NervoOS или еще что? )

Можно и Alkid Live CD.

[sasha76]

во,вчера с такой заразой и воевал.помогло формат с.но там было сложнее,кроме этого вируса было ищё 6-7 штук весёлых.

[LWolf]

Помогло следующее В режиме защиты от сбоев меняем родной rundll32.exe в system32 на переименованный в него avz.exe. Перегружаемся. Запускаем hijackthis, смотрим что за бяка в инитдлл. Если в этом сеансе удается прибить то грузимся с ливсд и делаем это там... полезно проверить что сидит в реестре HKLM/software/microsoft/windows nt/winlogon ключ userinit

[Gobzavr]

Изврат
Проще подмонтировать реестр с ливсд и прочистить

[LWolf]

Изврат
Проще подмонтировать реестр с ливсд и прочистить

для того что бы userint почистить - да
а для того что бы запустить hijackthis приходится извращатся

[Valery_Dnepr]

Вот ссылка на iso образ Лайв Си-Ди от Касперского. Качайте, записывайте на Си-Ди, загружайтесь с него на зараженном ноуте и лечитесь на здоровье.
ftp://devbuilds.kaspersky-labs.com/d...ds/RescueDisk/
Только сначала запишите на тот ноут куда-нить последние антивирусные базы Касперского и после загрузки с Си-Ди обновите сначала базы Касперского.

[deivan]

подписываюсь на тему.
принесли два компа с такой бякой, - на одном был мой ранее созданный бэкап, и он помог, а на втором я шаманил в точности как топикстартер, - и пока никак...
формат цэ -- не интересно, хочется высокого полета фантазии..

[Викa]

такая же ситуация...Кто может помочь?(т.к. ничего не поняла из предлагаемого)

[Dnepr]

Где вы их только находите таких троянов?