Показано с 1 по 17 из 17.

Опять про черный порнобанер (заявка № 62246)

  1. #1
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    25
    Вес репутации
    26

    Thumbs up Опять про черный порнобанер

    Рабочий стол закрывал черный порнобанер со всеми сопутствующими и упоминавшимися в других сообщениях проблемами. В интернете нашел код 487386665, который позволил убрать банер. Загрузка процессора при этом была 100%. Все съедал svchost. Этап подготовки к сканироованию у CureIt занял около 8 часов. После этого появилось белое окно с сообщением о нарушении лицензионного соглашения для uBest NetSpeed Pro и предложением снова ввести код активации. Запустить AVZ не удается при входе в папку компьютер перезагружается. С трудом удалось получить лог hijacka.

    Помогите, пожалуйста, разобраться.
    Вложения Вложения

  2. Реклама
     

  3. #2
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    324
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\Program Files\Internet Explorer\svcnost.exe
    O4 - HKLM\..\Run: [act0] D:\Program Files\Internet Explorer\smss.exe
    O4 - HKLM\..\Run: [Microsoft Internet Agent] d:\windows\system32\winagent.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O20 - AppInit_DLLs: D:\WINDOWS\system32\asx.dll
    Перезагрузите компьютер.

    После этого дожна запуститься AVZ - сделайте все логи по правилам.
    GHETTO/STREET WORKOUT

  4. #3
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    25
    Вес репутации
    26
    Профиксил указанные строки. AVZ не удается запустить. Пробовал его переименовывать, тоже не получилось запустить.
    Посылаю новый лог hijacka.

    Как видно, почему-то не убирается
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
    И вылазит новая dll
    O20 - AppInit_DLLs: D:\WINDOWS\system32\rcnsk.dll
    Вложения Вложения

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,648
    Вес репутации
    2918
    Попробуйте переименовать D:\WINDOWS\system32\rcnsk.dll во что-либо другое. Если картинка уйдет, выполняйте сбор логов и переименованное имя сообщите
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    25
    Вес репутации
    26
    Нужно ли перезагружаться после переименования?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Нет.

  8. #7
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    25
    Вес репутации
    26
    Файл D:\WINDOWS\system32\rcnsk.dll не отображался, хотя опция отображать скрытые файлы и папки была помечена. Попробовал профиксить O20 - AppInit_DLLs: D:\WINDOWS\system32\rcnsk.dll.
    Перезагрузился и вновь запустил hijackthis. dll сменила имя на n.dll.
    Ее тоже не нашел на диске. Пришлось искать ее из под чистой системы, сменил ей имя на 777.#ll. После этого окно исчезло и удалось собрать нужные логи.
    Вложения Вложения

  9. #8
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    324
    1) Пофиксите в HijackThis:
    Код:
    O20 - AppInit_DLLs: D:\WINDOWS\system32\n.dll
    2) Выполните скрипт В AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetAVZPMStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('D:\Program Files\PestPatrol\Quarantine\20041014210908879.zip','');
     QuarantineFile('D:\Program Files\Form Pilot Office Demo\FpoprxyTSD.exe','');
     QuarantineFile('0.exe','');
     QuarantineFile('D:\WINDOWS\services.exe','');
     QuarantineFile('D:\WINDOWS\system32\drivers\mssrvc.sys','');
     DeleteFile('D:\WINDOWS\system32\drivers\mssrvc.sys');
     DeleteFile('D:\WINDOWS\services.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','previousProjectorProcessID');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(1);
    ExecuteRepair(11);
    ExecuteRepair(17);
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RebootWindows(true);
    end.
    3) Компьютер перезагрузится.
    Затем выполните второй скрипт в AVZ:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы
    4) Сделайте новые логи + такой лог: http://virusinfo.info/showthread.php?t=40118
    GHETTO/STREET WORKOUT

  10. #9
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    25
    Вес репутации
    26
    Спасибо за помощь, вот запрошенные данные.
    Вложения Вложения

  11. #10
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    324
    В логах ничего подозрительного не увидел.
    Проблема решена?

    Давайте соберём для карантина и удалим оставшийся неактивный мусор:
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('D:\Program Files\Internet Explorer\svcnost.exe','');
     DeleteFile('D:\Program Files\Internet Explorer\svcnost.exe');
     QuarantineFile('D:\Program Files\Internet Explorer\smss.exe','');
     DeleteFile('D:\Program Files\Internet Explorer\smss.exe');
     QuarantineFile('d:\windows\system32\winagent.exe','');
     DeleteFile('d:\windows\system32\winagent.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните второй скрипт в AVZ:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы/

    Рекомендации:
    1) Установите SP3 и все последующие обновления (заплатки).
    2) Установите Internet Explorer 8.
    3) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
    Последний раз редактировалось Ingener; 03.12.2009 в 21:51.
    GHETTO/STREET WORKOUT

  12. #11
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    25
    Вес репутации
    26
    Да, проблема решена! Еще раз спасибо за помощь!

  13. #12
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    324
    Карантин пришлите пожалуйста (выполнив скрипты из моего поста #10) - он нам пригодится. Заодно скрипты почистят вам систему от мусора.
    GHETTO/STREET WORKOUT

  14. #13
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    25
    Вес репутации
    26
    Я высылал карантин по ссылке из шапки имя quarantine.zip пароль virus. Нужно повторить?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    После выполнения скриптов будет новый. Его пришлите.

  16. #15
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    324
    Я высылал карантин по ссылке из шапки имя quarantine.zip пароль virus. Нужно повторить?
    Да повторите пожалуйста, если вас не затруднит - выполнив скрипты (указания) из моего поста #10. Просто теми скриптами карантинятся другие файлы (мусор), которые я убрал из автозагрузки в посте #2 - теперь они неактивны и не представляют вреда, но их всё же нужно закарантинить и удалить, чтобы они не лежали мусором в системе.
    GHETTO/STREET WORKOUT

  17. #16
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    25
    Вес репутации
    26
    Да, простите перепутал пост 10 и 8. Сейчас все сделаю.

    Добавлено через 23 минуты

    Карантин закачан.

    Файл сохранён как 091203_225424_quarantine_4b181770ac858.zip
    Размер файла 12225
    MD5 d9dd6a18f379874f57e88585d0937459

    Еще раз спасибо за помощь!
    Последний раз редактировалось pegas78; 03.12.2009 в 22:56. Причина: Добавлено

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,558
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\program files\internet explorer\smss.exe - Trojan.Win32.Diamin.aor ( DrWEB: Trojan.Siggen.30515 )
      2. d:\windows\services.exe - Trojan.Win32.Spamer.n ( BitDefender: Backdoor.Bot.81147, AVAST4: Win32:Wali [Cryp] )
      3. d:\windows\system32\drivers\mssrvc.sys - Trojan.Win32.Agent.ddeu ( BitDefender: Trojan.Generic.2854654, AVAST4: Win32:Crypt-AUN [Trj] )


  • Уважаемый(ая) pegas78, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. черный гейский порнобанер
      От Illusion_2009 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.12.2009, 09:06
    2. черный порнобанер
      От ff_group в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 03.12.2009, 10:18
    3. Черный порнобанер 3649
      От folder в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 02.12.2009, 16:15
    4. черный порнобанер
      От McStealth в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 01.12.2009, 15:26
    5. Черный порнобанер II
      От me4ik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.12.2009, 00:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00685 seconds with 24 queries