Показано с 1 по 17 из 17.

Опять про черный порнобанер (заявка № 62246)

  1. #1
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    26
    Вес репутации
    53

    Thumbs up Опять про черный порнобанер

    Рабочий стол закрывал черный порнобанер со всеми сопутствующими и упоминавшимися в других сообщениях проблемами. В интернете нашел код 487386665, который позволил убрать банер. Загрузка процессора при этом была 100%. Все съедал svchost. Этап подготовки к сканироованию у CureIt занял около 8 часов. После этого появилось белое окно с сообщением о нарушении лицензионного соглашения для uBest NetSpeed Pro и предложением снова ввести код активации. Запустить AVZ не удается при входе в папку компьютер перезагружается. С трудом удалось получить лог hijacka.

    Помогите, пожалуйста, разобраться.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\Program Files\Internet Explorer\svcnost.exe
    O4 - HKLM\..\Run: [act0] D:\Program Files\Internet Explorer\smss.exe
    O4 - HKLM\..\Run: [Microsoft Internet Agent] d:\windows\system32\winagent.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O20 - AppInit_DLLs: D:\WINDOWS\system32\asx.dll
    Перезагрузите компьютер.

    После этого дожна запуститься AVZ - сделайте все логи по правилам.
    GHETTO/STREET WORKOUT

  4. #3
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    26
    Вес репутации
    53
    Профиксил указанные строки. AVZ не удается запустить. Пробовал его переименовывать, тоже не получилось запустить.
    Посылаю новый лог hijacka.

    Как видно, почему-то не убирается
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
    И вылазит новая dll
    O20 - AppInit_DLLs: D:\WINDOWS\system32\rcnsk.dll

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Попробуйте переименовать D:\WINDOWS\system32\rcnsk.dll во что-либо другое. Если картинка уйдет, выполняйте сбор логов и переименованное имя сообщите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    26
    Вес репутации
    53
    Нужно ли перезагружаться после переименования?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Нет.

  8. #7
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    26
    Вес репутации
    53
    Файл D:\WINDOWS\system32\rcnsk.dll не отображался, хотя опция отображать скрытые файлы и папки была помечена. Попробовал профиксить O20 - AppInit_DLLs: D:\WINDOWS\system32\rcnsk.dll.
    Перезагрузился и вновь запустил hijackthis. dll сменила имя на n.dll.
    Ее тоже не нашел на диске. Пришлось искать ее из под чистой системы, сменил ей имя на 777.#ll. После этого окно исчезло и удалось собрать нужные логи.

  9. #8
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    1) Пофиксите в HijackThis:
    Код:
    O20 - AppInit_DLLs: D:\WINDOWS\system32\n.dll
    2) Выполните скрипт В AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    SetAVZPMStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('D:\Program Files\PestPatrol\Quarantine\20041014210908879.zip','');
     QuarantineFile('D:\Program Files\Form Pilot Office Demo\FpoprxyTSD.exe','');
     QuarantineFile('0.exe','');
     QuarantineFile('D:\WINDOWS\services.exe','');
     QuarantineFile('D:\WINDOWS\system32\drivers\mssrvc.sys','');
     DeleteFile('D:\WINDOWS\system32\drivers\mssrvc.sys');
     DeleteFile('D:\WINDOWS\services.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','previousProjectorProcessID');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(1);
    ExecuteRepair(11);
    ExecuteRepair(17);
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RebootWindows(true);
    end.
    3) Компьютер перезагрузится.
    Затем выполните второй скрипт в AVZ:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы
    4) Сделайте новые логи + такой лог: http://virusinfo.info/showthread.php?t=40118
    GHETTO/STREET WORKOUT

  10. #9
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    26
    Вес репутации
    53
    Спасибо за помощь, вот запрошенные данные.

  11. #10
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    В логах ничего подозрительного не увидел.
    Проблема решена?

    Давайте соберём для карантина и удалим оставшийся неактивный мусор:
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     QuarantineFile('D:\Program Files\Internet Explorer\svcnost.exe','');
     DeleteFile('D:\Program Files\Internet Explorer\svcnost.exe');
     QuarantineFile('D:\Program Files\Internet Explorer\smss.exe','');
     DeleteFile('D:\Program Files\Internet Explorer\smss.exe');
     QuarantineFile('d:\windows\system32\winagent.exe','');
     DeleteFile('d:\windows\system32\winagent.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните второй скрипт в AVZ:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы/

    Рекомендации:
    1) Установите SP3 и все последующие обновления (заплатки).
    2) Установите Internet Explorer 8.
    3) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
    Последний раз редактировалось Ingener; 03.12.2009 в 21:51.
    GHETTO/STREET WORKOUT

  12. #11
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    26
    Вес репутации
    53
    Да, проблема решена! Еще раз спасибо за помощь!

  13. #12
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    Карантин пришлите пожалуйста (выполнив скрипты из моего поста #10) - он нам пригодится. Заодно скрипты почистят вам систему от мусора.
    GHETTO/STREET WORKOUT

  14. #13
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    26
    Вес репутации
    53
    Я высылал карантин по ссылке из шапки имя quarantine.zip пароль virus. Нужно повторить?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    После выполнения скриптов будет новый. Его пришлите.

  16. #15
    ВайБро Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ingener
    Регистрация
    05.09.2009
    Адрес
    Воронеж
    Сообщений
    819
    Вес репутации
    351
    Я высылал карантин по ссылке из шапки имя quarantine.zip пароль virus. Нужно повторить?
    Да повторите пожалуйста, если вас не затруднит - выполнив скрипты (указания) из моего поста #10. Просто теми скриптами карантинятся другие файлы (мусор), которые я убрал из автозагрузки в посте #2 - теперь они неактивны и не представляют вреда, но их всё же нужно закарантинить и удалить, чтобы они не лежали мусором в системе.
    GHETTO/STREET WORKOUT

  17. #16
    Junior Member Репутация
    Регистрация
    03.12.2009
    Сообщений
    26
    Вес репутации
    53
    Да, простите перепутал пост 10 и 8. Сейчас все сделаю.

    Добавлено через 23 минуты

    Карантин закачан.

    Файл сохранён как 091203_225424_quarantine_4b181770ac858.zip
    Размер файла 12225
    MD5 d9dd6a18f379874f57e88585d0937459

    Еще раз спасибо за помощь!
    Последний раз редактировалось pegas78; 03.12.2009 в 22:56. Причина: Добавлено

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\program files\internet explorer\smss.exe - Trojan.Win32.Diamin.aor ( DrWEB: Trojan.Siggen.30515 )
      2. d:\windows\services.exe - Trojan.Win32.Spamer.n ( BitDefender: Backdoor.Bot.81147, AVAST4: Win32:Wali [Cryp] )
      3. d:\windows\system32\drivers\mssrvc.sys - Trojan.Win32.Agent.ddeu ( BitDefender: Trojan.Generic.2854654, AVAST4: Win32:Crypt-AUN [Trj] )


  • Уважаемый(ая) pegas78, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. черный гейский порнобанер
      От Illusion_2009 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 04.12.2009, 09:06
    2. черный порнобанер
      От ff_group в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 03.12.2009, 10:18
    3. Черный порнобанер 3649
      От folder в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 02.12.2009, 16:15
    4. черный порнобанер
      От McStealth в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 01.12.2009, 15:26
    5. Черный порнобанер II
      От me4ik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.12.2009, 00:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00703 seconds with 19 queries