поймали порнобаннер + возникало какое-то сообщение квадратиками. баннер отражается вертикально слева во всех браузерах. в процессе борьбы с помощью cureit были удалены два трояна, исправлен днс в настройках сети. баннер по прежнему иногда появляется. сообщение с квадратами нет. прилагаю логи, помогите пожалуйста.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\ firewallpolicy\standardprofile\authorizedapplications\list','C:\Windows\explorer.exe','C:\Windows\ex plorer.exe:*:Enabled:ipsec');
ExecuteRepair(3);
ExecuteRepair(3);
ExecuteWizard('SCU', 2, 3, true);
ExecuteRepair(10);
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

+ откройте блокнотом файл C:\Windows\tasks\jgxtq.job и напишите здесь его содержимое, после этого удалите этот файл.

+ VPets.exe -такую программу (скринсейвер с животными) устанавливали ?

а также PCHDPlayer.exe (виртуальные девушки) устанавливали ?

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. »
файл отправил, да только архив пуст.

+ откройте блокнотом файл
Код:
C:\Windows\tasks\jgxtq.job
и напишите здесь его содержимое, после этого удалите этот файл. »


€sшГАC‹зPбh€cЂF М <
s Ђ  Ђ!Э 
  ; Ж . C : \ U s e r s \ U s e r \ A p p D a t a \ L o c a l \ T e m p \ w h r l m z g y . e x e
0<5B>20. 
0 Э
 *



Этот самый файл w h r l m z g y . e x e я первым делом нашел на ПК и прибил, но делу это не помогло

+ VPets.exe -такую программу (скринсейвер с животными) устанавливали ?
а также PCHDPlayer.exe (виртуальные девушки) устанавливали ? »
ПК не мой. адекватно ответить устанавливали или нет мне не могут. файла деинсталляции на эти программы я найти не могу. если только просто удалить с диска C:

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
QuarantineFile('C:\Program Files\VPets\VPets.exe','');
QuarantineFileF('C:\Program Files\VPets','*', true,'',0 ,0);
QuarantineFileF('C:\Program Files\pchd','*', true,'',0 ,0);
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
DeleteFile('C:\Program Files\VPets\VPets.exe');
DeleteFile('C:\Windows\tasks\jgxtq.job');
DeleteFile('C:\Users\User\AppData\Local\Temp\whrlmzgy.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\VPetsPlayer');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\PCHDPlayer');
DeleteFileMask('C:\Program Files\VPets', '*', true);
DeleteFileMask('C:\Program Files\pchd', '*', true);
DeleteDirectory('C:\Program Files\VPets',' ');
DeleteDirectory('C:\Program Files\pchd',' ');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)

ps/ не забудьте что утилиты надо запускать правой кнопкой от имени админа.

все прикрепил

Запустите еще раз сканирование МВАМ и после его завершения отметьте и удалите только указанные ниже строки
Обнаруженные ключи в реестре: 1
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 튒ℙ引阛鬏폅掙࢖ገ୊寵욪녞洽딶鿇愨绻玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑❹둬줹荅猏㯄ẚ贀ᰆ㰶贲꧉玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑璊䱛扙 玥놨쭑Ⅼ쎿弸㡶睰맒￫藍玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑 玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑 玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑㧃쬑 캸� -> Действие не было предпринято.

на этом все?

после этого сделайте новый лог сканирования MBAM

+ Загрузите SecurityCheck by glax24 отсюда (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом разделе (http://safezone.cc/forum/showthread.php?t=19622) форума поддержки утилиты.


а также отпишитесь, что с проблемами ?

логи прикрепил. по проблемам пока ничего не понятно, потому как и после моей очистки пк баннеры возникали крайне редко. в общем через несколько дней отпишусь, надо посерфить побольше, потестировать. Вы не могли бы мне отписаться о характере вирусов и троянов? это были чисто смс вымогатели, или было такое вредоносное ПО, которое могло украсть пароли, сертификаты и тд?

Ребята, а появилось ли какое-нибудь автоматизированное средство для удаления этого зловреда?

Лучшая автоматизация это связка защитного ПО и пользователя. От пользователя требуется не лазить там где не положено и не грузить в компьютер разную дрянь в желании схалявничать. И не запрещать антивирусу удалить обнаруженное зловредное ПО из-за того что на сайте написано что это типа безобидно. :)