баннер на рабочем столе

Printable View

21.01.2010, 21:57
anargist

Вложений: 2

баннер на рабочем столе

появился банер после посещения странных сайтов, антивирусы аваст есет и тд ничего не показывают.

нашол один способ как с ним бороться! но не вариант , нада убивать етот баннер, у меня встроеный пользователь виндовса xp sp3 а времено я устранил ето так: создал нового пользователя, перезагрул комп, на новом пользователе показался банер затем открыл настройки пользователей вин2к отключил нового пользователя сменил на встроенного который изначальный и там банер не появляется! видимо банер не открывается дважды.
22.01.2010, 02:50
gjf

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[b]- Антивирус и Файрвол.[/b]
- [url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт:[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\cpco.exe','');
QuarantineFile('C:\Program Files\adGuard\adGuard.exe','');
QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\obyrkre.tmp','');
DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\obyrkre.tmp');
DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\cpco.exe');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); {восстановление значений таймаутов}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить автоматические запросы элементов управления ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
DeleteFile('C:\WINDOWS\Tasks\WindowsUpdate.job');
DeleteFile('WindowsUpdate.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/url]
[b]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/b]
[b]- Обновите базы AVZ!!! [/b]
- Сделайте повторные логи согласно только пункта 2 [url="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/url]
[i]virusinfo_syscheck.zip[/i]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.
22.01.2010, 04:44
anargist

порно баннер исчез после следующих действий: создал пользователя, запустил его там выскочил баннер, завершение сеанса>смена пользователя и вернулся к изначальному пользователю на нем баннера не выскакивало. ето я сделал для того чтоб небыл заблокирован диспечер задач и т.д. далее как и было посаветовано в следущих пунктах - Закройте/выгрузите все программы кроме Internet Explorer. Отключите - ПК от интернета/локальной сети. - Антивирус и Файрвол. - Выполните скрипт: [CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\cpco.exe','');
QuarantineFile('C:\Program Files\adGuard\adGuard.exe','');
QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\obyrkre.tmp','');
DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\obyrkre.tmp');
DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\cpco.exe');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); {восстановление значений таймаутов}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить автоматические запросы элементов управления ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
DeleteFile('C:\WINDOWS\Tasks\WindowsUpdate.job');
DeleteFile('WindowsUpdate.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE] После перезагрузки баннер пропал, вопрос как к знающим в этом деле людям, баннер насовсем пропал и стоит закрыть тему или он просто на время затих специально?
22.01.2010, 12:21
gjf

Вы карантин отправили? Где новые логи?
22.01.2010, 15:15
anargist

вот выложенные логи, а карантин не загружается ибо пишет предел места

вот выложил на файлообменнике rapidshare.ru карантин [url]http://www.rapidshare.ru/1344820[/url]
22.01.2010, 15:25
gjf

Карантин Вы не загрузили. Сколько нужно просить раз?
В логах зараза ещё видна.
22.01.2010, 15:29
anargist

вот есчо карантин на rapidshare.com eсли тот файлообменник не будет работать [url]http://rapidshare.com/files/339280439/virus.zip.html[/url]
22.01.2010, 16:33
gjf

Зачем мне файлообменник? Вы как загружаете? Ссылку красную вверху этой темы видите?
22.01.2010, 16:48
anargist

сделал
22.01.2010, 17:08
gjf

Выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\cpco.exe','');
DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\cpco.exe');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); {восстановление значений таймаутов}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); {IE - запретить запуск программ и файлов в IFRAME без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); {IE - запретить автоматические запросы элементов управления ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); {IE - запретить загрузку неподписанных элементов ActiveX}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); {IE - запретить загрузку подписанных элементов ActiveX без запроса}
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); {IE - запретить использование ActiveX, не помеченных как безопасные}
DeleteFile('C:\WINDOWS\Tasks\WindowsUpdate.job');
DeleteFile('WindowsUpdate.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторно загрузите карантин и сделайте лог virusinfo_syscheck.zip.
22.01.2010, 17:34
anargist

пере залил карантин и вот логи
22.01.2010, 17:38
anargist

новый размер карантина 96 мб, грузится
22.01.2010, 17:38
gjf

Больше ничего вредоносного в логах не видно.
С нашей помощью Вы нашли и удалили вирус Trojan-Ransom.Win32.PornoBlocker.jl.
Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот [url="http://virusinfo.info/showthread.php?t=3519"]тут.[/url]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
Установите все последние [url="http://update.microsoft.com"]обновления системы Windows[/url] и используемых программ. И вообще, постарайтесь выполнить все советы, [url="http://virusinfo.info/showthread.php?t=30339"]указанные здесь[/url] - это максимально отдалит время нашей следующей с Вами встречи :)
22.01.2010, 17:48
anargist

спасибки потыкал
23.01.2010, 17:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\admin~1.mic\locals~1\temp\cpco.exe - [B]Trojan-Ransom.Win32.PinkBlocker.hq[/B][*] c:\docume~1\admin~1.mic\locals~1\temp\obyrkre.tmp - [B]Trojan-Ransom.Win32.PornoBlocker.jl[/B] ( DrWEB: Trojan.Winlock.932 )[/LIST][/LIST]