[решено] Порно-баннер (методы лечения) - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Порно-баннер (методы лечения) (http://forum.oszone.net/showthread.php?t=164046)

Порно-баннер (методы лечения)

При загрузки появился баннер на розовом фоне, вверху 3 картинки, понятного всем содержания.
не работает ничего, нельзя пошевелить мышкой.
пробЫвал все описанные утилитки по разблокировке - безуспешно.
в корне program files plugin отсутствует.

Может кому-нибудь пригодится:
Удалось зайти в безопасный режим, запустил утилиту Марка Руссиновича Autoruns.
Увидел следующую гадость - WindowsCheck.job fotokpg.exe
Отсюда делаем вывод - она прописалась в планировщике и при загрузке запускает следующую гадость
DOCUME~1\FEC6~1\LOCALS~1\Temp\fotokpq.exe C:\DOCUME~1\FEC6~1\LOCALS~1\Temp\ejfe.tmp
убрал из автозагрузки, очистить все темпы, удалил задание. Наступило счастье.

Сделал анализ логов каспера и увидел, что была запущена установка программы Codec_install, а внутри Flashplayer_update
вот именно в ней и спрятан был данный баннер.

на всякий случай в прицепе логи, проверьте плиз на всякий пожарный

активного заражения не видно.

видны остатки Norton Internet Security, для удаления скачайте утилиту Norton Removal Tool тут.

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

что из этого нужно ?

Цитата:

Цитата Analyzer

что из этого нужно ? »

да. вообще ничего не нужно.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);

SetServiceStart('RDSessMgr', 4);

SetServiceStart('mnmsrvc', 4);

SetServiceStart('Schedule', 4);

SetServiceStart('SSDPSRV', 4);

SetServiceStart('TermService', 4);

SetServiceStart('RemoteRegistry', 4);

RebootWindows(true);

end.

после перезагрузки и всего не будет.