-
Junior Member
- Вес репутации
- 55
Вылезает порнобаннер
Еще раз здравствуйте
На компьютере 3 учетные записи - администраторская (с паролем), ограниченная (без пароля) и ограниченная (с паролем). На второй (и только на ней) при каждой загрузке Windows сверху рабочего стола вылезает порнобаннер, требующий отправить СМС якобы чтобы убрать подписку. Он заслоняет окна и на администраторской учетной записи, пока он висит, AVZ не дает посмотреть список процессов.
Через Ctrl+Alt+Delete этот баннер спокойно убирается (приходится убивать процесс), но при новой загрузке Windows он снова появляется. Имя у процесса каждый раз другое (состоит из кучи символов). ESET Smart Security и CureIt молчат как партизаны.
Смог провести требуемую Вами проверку при убранном баннере, с баннером как-то не пытался.
Последний раз редактировалось Multq; 09.11.2010 в 13:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Логи желательно сделать при баннере и под той учеткой, в которой появляется баннер.
-
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Мама\Local Settings\Temp\Xaay.exe','');
DeleteFile('D:\Documents and Settings\Мама\Local Settings\Temp\Xaay.exe');
QuarantineFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\WPI7C5YJ\HelpLA_lib[1].js','');
DeleteFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\WPI7C5YJ\HelpLA_lib[1].js');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Большое спасибо, баннер исчез
Высылаю карантин и новые логи.
Результат загрузки
Файл сохранён как 100511_235912_virus_4be9b7104ca05.zip
Размер файла 4035
MD5 fecb30e25593e5fb3869f51381e4a1eb
Файл закачан, спасибо!
Последний раз редактировалось Multq; 09.11.2010 в 13:31.
-
Чисто
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Adobe Acrobat 9.3 или удалите старый
Обновите JavaRE
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Вылез новый порнобаннер...
Он еще злее, не дает себя закрыть через диспетчер задач (диспетчер сразу закрывается), много чего сразу закрывается: Меню пуск, Alt+Tab. Причем опять же с той же учетной записи. Проверил опять на администраторской, где ничего не мешает.
Последний раз редактировалось Multq; 09.11.2010 в 13:31.
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('D:\Documents and Settings\Мама\Local Settings\Temp', '*.exe', false);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Выполните рекомендации из поста №5
-
-
Перед выполнением совета polword
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Мама\Local Settings\Temp\krvvuteyo.dll','');
QuarantineFile('D:\Documents and Settings\Мама\Local Settings\Temp\wfeq.dll','');
DeleteFile('D:\Documents and Settings\Мама\Local Settings\Temp\krvvuteyo.dll');
DeleteFile('D:\Documents and Settings\Мама\Local Settings\Temp\wfeq.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Результат загрузки
Файл сохранён как 100517_105047_virus_4bf0e747e286b.zip
Размер файла 273695
MD5 c4dcd4b7be6e760bf2d3932cd47bd402
Файл закачан, спасибо!
Сейчас логи пришлю
-
-
-
Junior Member
- Вес репутации
- 55
Баннер исчез, но при входе в учетку вылезает окно, что при загрузке не найден указанный модуль "../Temp/wfeq.dll"
Последний раз редактировалось Multq; 09.11.2010 в 13:31.
-
- Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
проверте
-
-
Junior Member
- Вес репутации
- 55
Окно не исчезло, но в приветствии и выборе учетной записи исчезла кнопка "Выключить компьютер"
-
Логи делали в проблемной учетке?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
-
В проблемной и нужно. Делайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось Multq; 30.09.2010 в 23:01.
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F3 - REG:win.ini: load=D:\DOCUME~1\8405~1\LOCALS~1\Temp\xec.bat
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\DOCUME~1\8405~1\LOCALS~1\Temp\xec.bat','');
QuarantineFile('D:\WINDOWS\system32\3b031e6e.exe','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
DeleteFile('D:\WINDOWS\system32\3b031e6e.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Дополнительно к совету polword
Учетка эта ограничена в правах? Нужно дать ей права администратора (временно)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Мама\Application Data\Microsoft Security Essentials\msseces.exe','');
DeleteFile('D:\Documents and Settings\Мама\Application Data\Microsoft Security Essentials\msseces.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Security Essentials');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Последний раз редактировалось Multq; 30.09.2010 в 23:01.