Добрый день всем. ;)
Уменя такая беда. Вчера видно я куда-то зашел на один из интернет порталов и схватил вирус:
На моем экране через каждые 5 минут выскакивает порно заставка с оплатой смс по удалению ее.
Просьба помогите удалить данную гадость и посмотрите пожалуйста нет ли другой какой нибудь заразы на моем компьютере . Вот мои логи.

Нашел схожую проблему чуть ниже и сделал сам самостоятельно следующее:
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Занимаюсь самолечением...)))

Занимаюсь самолечением...))) »
и угробите систему. В правилах раздела категорически запрещено использование чужих скриптов!!!

посмотрите пожалуйста нет ли другой какой нибудь заразы на моем компьютере . Вот мои логи. »Сейчас посмотрим. :) А скрипт, что вы написали, не выполняйте!

Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
• Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). Результаты ответа, сообщите здесь, в теме.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe


• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://malwarebytes.gt500.org/mbam-rules.exe).

Повтотите логи.

okshef, Спасибо Вам, что напомнили о безопасности самостоятельных действий.
В следующий раз буду слушаться...))) :pray:

Drongo, Спасибо, что откликнулся на мою просьбу. :clapping:
К счастью или к сожалению но я выплнинил скрипт, что написал заранее.
Я так понимаю, что у меня зависла строчка:
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
И что мне с ней делать???
В HiJackThis. пофиксил эту строку в HiJackThis O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe- ее там больше нет.

По поводу Malwarebytes Anti-Malware могу сказать следующее. Эта программа распознает все, что ей кажется подозрительным и она уже однажды на моем компьютере признала много очень ценных пргорамм зловредами и даже сам хелпер который мне предлогал данную антивирусную помощь потом сам признался, что недоволен ей.... так что я лучше уж без нее обойдусь...
Ну что на моем компе еще есть какие нибудь еще зловреды..????
Drongo, как ты думаешь...???
Зловреда отправил на мыло в лабораторию касперского. Как отпишуться - сразу на форуме отпишусь...)))

К счастью или к сожалению но я выплнинил скрипт, что написал заранее.
Я так понимаю, что у меня зависла строчка: »Значит если вы выполнили ранний скрипт, то этой строки у вас видимо уже нет. Я так думаю? Хотя не пойму что вы имели ввиду когда говорили: RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');зави сла строчка? Скрипт не выполняется?ее там больше нет. »Это хорошо. )))

так что я лучше уж без нее обойдусь... »Если это ваше решение, то это уже на свой страх и риск. Хоть CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) проверьте. :)

Drongo, как ты думаешь...??? »Ну откуда я могу знать? Логов же повторных вы не сделали?

Drongo,
По поводу строчки я просто хотел сказать, что она у вас в скрипте была прописана, а я выполнил скрипт все то же самое, только без нее...

Пришел ответ от Касперского:
Здравствуйте,

bcqr00001.ini,
bcqr00002.ini

Вредоносный код в файлах не обнаружен.

services.exe_ - Trojan-Ransom.Win32.PornoBro.bn

Этот файл определяется антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.

Вот выставляю новые логи. Посмотрите пожалуйста и скажите как с моим компьютером дела.
Здоров ли он ДоХтеР..... :type:


По поводу программы Culert.
У меня на компьютере стоит dr.WEB он этот вирус не смог увидеть, хотя я базы антивирусные обновлял перед поиском данной заразы....

C:\WINDOWS\system32\Drivers\Beep.sys проверьте на virustotal (http://www.virustotal.com/ru) Ссылку на результат проверки сообщите

thyrex,
Проверил C:\WINDOWS\system32\Drivers\Beep.sys, вот ответ:

Файл уже проанализирован:
MD5: 09ef2e05778ae5d5043a5720b7546412
First received: 2009.06.03 20:16:43 UTC
Дата: 2009.06.03 20:16:43 UTC [>90D]
Результаты: 0/40
Permalink: analisis/196b2a4b7bbaacf19d4ceb0e547701b70fb9fbfc0831c9e5cf450f9aed24a177-1244060203

Дата: 2009.06.03 20:16:43 »Прошло уже три месяца с момента его проверки.
Нужно заново проверить файл

sztksales, Можете проверить файл на любом из представленных сайтов:

1. http://virusscan.jotti.org/ru
2. http://www.virscan.org/

Нужно заново проверить файл »

ПО HASH MD5 - файл чистый
File beep.sys received on 2009.09.03 06:04:44 (UTC) Current status: finished Result: 0/41 (0.00%)

Ай спасибо Айболит - мой компьютер не болит,
Ай спасибоооооооооо Айболииииит - мой компьютер не болиииииит...))))))
У меня он не болит и по прежнему жужжит...))))
Ай спасибо Айболит!!!!!!! :4u:

Огромное СПАСИБО ВСЕМ!!!!
Если есть какие то замечания по здоровью моего компьютера просьба напишите мне...- будем лечить вместе....)))) :cool:

Если есть какие то замечания по здоровью моего компьютера просьба напишите мне...- будем лечить вместе....)))) »Заключительные рекомендации? :) Пожалуйста.

• Регулярно проверяйте систему утилитой CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe)
• Регулярно обновляйте базы для вашего антивируса.
• Не работайте с правами Администратора на компьютере.

• Можете почитать например книгу Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.ru/)

Успехов. :)

Спасибо Drongo, обязательно книгу почитаю... :)
У меня последний к Вам вопрос: не могу удалть в папке C:\TEMP файлы с расширением в имени ~DFCE1D.tmp
Кликаю на них удалить - а в ответ компьютер пишет:

Неудается удалить ~DFCE1D.tmp. Нет доступа.
Диск может быть переполнен или защещен от записи.
Либо файл занят другим приложением..


Что делать ума неприложу... :shout:

Кликаю на них удалить - а в ответ компьютер пишет:
Неудается удалить ~DFCE1D.tmp. Нет доступа.
Диск может быть переполнен или защещен от записи.
Либо файл занят другим приложением..

Что делать ума неприложу... »Удалить с помощью - Unlocker (http://www.forum.oszone.net/thread-51329.html). Или - Никак не удаляются файлы (AVI и все остальные форматы) (http://forum.oszone.net/showthread.php?t=6677).

Возможно это временный файл какой-то работающей в данный программы. У меня, например, тоже не все удаляются.

Drongo, Очень хорошая программа Unlocker Все помогла и все стерла из папки C:\TEMP Эти файлы оказываются образуются при вхождение в программму Internet Explorer и они ее поддерживают. Как только я их стер и снова решил зайти в интернет - как они снова там образовались.... :( Наверно так надо....
Ну что ж очень приятно, что так или иначе но все в этом мире решается и нет не решаемых проблем...
Спасибо огромное еще раз всем!!!!! :) :clapping: