Показано с 1 по 16 из 16.

Баннер доступа на порносайт (заявка № 66121)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    26

    Thumbs up Баннер доступа на порносайт

    Здравствуйте!

    Проблема такая... при старте системы появляеться ,баннер с порнокартинками следующего содержания:
    "Вы установили баннер для доступа на наш сайт.
    Срок действия баннера 30 дней.
    Если вы хотите прекратить действия баннера раньше установленного срока,
    то отправьте смс по указанному номеру и введите код удаления...
    отправить смс с текстом 733167 на номер 9800"

    - диспетчер задач на запускаеться...
    - в автозапуске видно эту хрень, но при попытке удалить виснет программа (плагин для Total Commander'a - Starter v5.6.2.8 )...
    - в автозапуске ссылка на фаил rundll.exe в c:\windows\sistem32... я его грохнул загрузившись через другую ОСь... не помогло... файла этого нет, но баннер висит на том же месте...
    - браузер не запускается...
    - Проверил CureIt в безопасном режиме нашёл один фаил H@tKeysH@@k.dll в c:\windows\sistem32
    - AVZ при открытии списка скриптов виснет... при обновлении баз тоже...
    - Смог получить только лог HiJack'а
    - Антивирусник - Avira Premium Security Suite... обновляеться каждые два часа...

    и еще беспокоят скрытые файлы khv и khw без расширения и размером 0 баит расположенные в корне всех 3-х разделов HD... что это???
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Вот ваш баннер:
    Код:
    O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
    Пофиксите, потом сделайте все логи по правилам.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    26
    Запустил AVZ и нажал выполнить вот что написал в протокол...
    папка log не появилась...

    Ещё информация "бяка" не дает нормально выключать комп... презагружаюсь "волшебной" кнопкой reset...
    по описанию похоже гадость из соседней темы...
    СМС-вымогатель (розовый баннер) пользователя ShoSho...
    Вложения Вложения
    • Тип файла: txt 111.txt (8.1 Кб, 4 просмотров)

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от pistachio Посмотреть сообщение
    Запустил AVZ
    Попробуйте: Сервис - Диспетчер процессов, грохнуть plugin.exe.

    Кстати, базы AVZ обновить надо!
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    26
    Пофиксил plugin.exe не помогло... может потомучто перезагружался reset'ом...

    Может еще необходимо пофиксить см. рисунок(еле еле через word сделал скрин... пайнт тоже виснет)... т.к. именно под таким именем в автозагрузке висит сия бяка...
    при обновлении баз, виснет AVZ... при просмотре из другой ОС(win 7) Plugin.exe вообще не видно...
    извеняюсь увидел... пробую загрузить XP...

    Извените что в первый раз не всё закрасил... так я думаю пойдет...
    Изображения Изображения
    Последний раз редактировалось pistachio; 06.01.2010 в 22:14. Причина: удалено вложение недетского содержания

  7. #6
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    26
    Удалил Plugin.exe из под другой ОС... помогло... баннера нет... всё работает...
    Вот только rundll32.exe я зря бахнул (он системный) пришлось восстанавливать его из дистрибутива винды...
    логи прицепил...
    Вложения Вложения

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
     QuarantineFile('C:\Documents and Settings\ALEXEY\Application Data\AdSubscribe\AdSubscribe.dll','');
     DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
     QuarantineFile('C:\DOCUME~1\ALEXEY\APPLIC~1\FieryAds\FieryAds.dll','');
     QuarantineFile('c:\windows\system32\netprotocol.dll','');
     DeleteFile('c:\windows\system32\netprotocol.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
     DeleteFile('C:\DOCUME~1\ALEXEY\APPLIC~1\FieryAds\FieryAds.dll');
     DeleteFile('C:\Documents and Settings\ALEXEY\Application Data\AdSubscribe\AdSubscribe.dll');
    DeleteFileMask('C:\DOCUME~1\ALEXEY\APPLIC~1\FieryAds', '*.*', true);
    DeleteDirectory('C:\DOCUME~1\ALEXEY\APPLIC~1\FieryAds');
    DeleteFileMask('C:\Documents and Settings\ALEXEY\Application Data\AdSubscribe', '*.*', true);
    DeleteDirectory('C:\Documents and Settings\ALEXEY\Application Data\AdSubscribe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    26
    Карантин выслал...
    Логи прицепил...

    p.s. про khw и khv что скажете???
    Вложения Вложения

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Пофиксите в HiJack
    Код:
    O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
    Больше плохого не видно

    Цитата Сообщение от pistachio Посмотреть сообщение
    про khw и khv что скажете???
    А они у Вас где появляются?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    26
    А они у Вас где появляются?
    В корне всех разделов диска (у меня их три) файлы без расширения... размером 0 байт...

    Больше плохого не видно
    O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall ,0 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe
    как на счет вот этих строчек zzzz2 явное имя чегото плохого...
    я писал выше под таким именем баннер сидел в автозагрузке, хотя может это от другого вира...
    я ещё картинку обратно прицепил исправленную...
    Последний раз редактировалось pistachio; 06.01.2010 в 22:30.

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Появляются нулевого размера файлы даже после их удаления?

    Приведенные Вами строки, по-моему, относятся к настройкам IE при первом запуске
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    26
    Цитата Сообщение от thyrex Посмотреть сообщение
    Появляются нулевого размера файлы даже после их удаления?

    Приведенные Вами строки, по-моему, относятся к настройкам IE при первом запуске
    удалил эти файлы... перезагрузился... вроде не появились...
    а на счет строк ... у меня стоитс сборка винды (естествено не офф.) похоже это от туда... что-то типа что должно появиться при первом запуске винды... FirstLogonSetting... причем запускаеться один раз...

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Рекомендую отключить т.н. административный доступ к дискам:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RebootWindows(true);
    end.
    а также установить пароль на учетку Администратора.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    26
    Цитата Сообщение от Bratez Посмотреть сообщение
    Рекомендую отключить т.н. административный доступ к дискам:

    а также установить пароль на учетку Администратора.
    Как правильно настроить ПК... точнее учётки пользователей...
    Сейчас два пользователя ("я" и "она") оба админа... знаю что неправильно...
    - сделать три 1-"я", 2-"она" и 3-"админ"(с паролем)
    - или две 1-"я" (админ с паролем) и 2-"она"...
    склоняюсь к первому варианту, но как будут работать программы установленные ранее "мной" (или "ей")... если статус учётки сменить на ограниченную... можно ли их будет удалять и изменять из "админа"...
    ???
    Последний раз редактировалось pistachio; 07.01.2010 в 09:36.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Я имел ввиду встроенную учетную запись Администратор.
    На ваши рабочие учетки тоже пароли поставьте.
    I am not young enough to know everything...

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\netprotocol.dll - Trojan-Downloader.Win32.Piker.bdt ( DrWEB: Trojan.Packed.19647, BitDefender: Trojan.Generic.2990244, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) pistachio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 26.11.2010, 12:28
    2. Ответов: 1
      Последнее сообщение: 21.01.2010, 14:25
    3. появляется ссылка на порносайт
      От bagik в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 07:51
    4. Ответов: 8
      Последнее сообщение: 18.02.2009, 10:53
    5. Ответов: 7
      Последнее сообщение: 03.02.2007, 20:39

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01189 seconds with 22 queries