Вылезает порнобаннер

Printable View

Показывать 40 сообщений этой темы на одной странице

11.05.2010, 21:57
Multq

Вылезает порнобаннер

Еще раз здравствуйте :)

На компьютере 3 учетные записи - администраторская (с паролем), ограниченная (без пароля) и ограниченная (с паролем). На второй (и только на ней) при каждой загрузке Windows сверху рабочего стола вылезает порнобаннер, требующий отправить СМС якобы чтобы убрать подписку. Он заслоняет окна и на администраторской учетной записи, пока он висит, AVZ не дает посмотреть список процессов.

Через Ctrl+Alt+Delete этот баннер спокойно убирается (приходится убивать процесс), но при новой загрузке Windows он снова появляется. Имя у процесса каждый раз другое (состоит из кучи символов). ESET Smart Security и CureIt молчат как партизаны.

Смог провести требуемую Вами проверку при убранном баннере, с баннером как-то не пытался.
11.05.2010, 22:07
ARMA9000

Логи желательно сделать при баннере и под той учеткой, в которой появляется баннер.
11.05.2010, 22:12
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Мама\Local Settings\Temp\Xaay.exe','');
DeleteFile('D:\Documents and Settings\Мама\Local Settings\Temp\Xaay.exe');
QuarantineFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\WPI7C5YJ\HelpLA_lib[1].js','');
DeleteFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\WPI7C5YJ\HelpLA_lib[1].js');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
12.05.2010, 00:00
Multq

Большое спасибо, баннер исчез :)

Высылаю карантин и новые логи.

[I]Результат загрузки
Файл сохранён как 100511_235912_virus_4be9b7104ca05.zip
Размер файла 4035
MD5 fecb30e25593e5fb3869f51381e4a1eb
Файл закачан, спасибо![/I]
12.05.2010, 00:14
thyrex

Чисто

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
Обновите [url="http://www.java.com/ru/download/manual.jsp"]JavaRE[/url]
17.05.2010, 01:02
Multq

Вылез новый порнобаннер...

Он еще злее, не дает себя закрыть через диспетчер задач (диспетчер сразу закрывается), много чего сразу закрывается: Меню пуск, Alt+Tab. Причем опять же с той же учетной записи. Проверил опять на администраторской, где ничего не мешает.
17.05.2010, 08:18
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('D:\Documents and Settings\Мама\Local Settings\Temp', '*.exe', false);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.[/CODE]

Выполните рекомендации из поста №5
17.05.2010, 09:28
thyrex

Перед выполнением совета [B]polword[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Мама\Local Settings\Temp\krvvuteyo.dll','');
QuarantineFile('D:\Documents and Settings\Мама\Local Settings\Temp\wfeq.dll','');
DeleteFile('D:\Documents and Settings\Мама\Local Settings\Temp\krvvuteyo.dll');
DeleteFile('D:\Documents and Settings\Мама\Local Settings\Temp\wfeq.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
17.05.2010, 10:51
Multq

[I]
Результат загрузки
Файл сохранён как 100517_105047_virus_4bf0e747e286b.zip
Размер файла 273695
MD5 c4dcd4b7be6e760bf2d3932cd47bd402
Файл закачан, спасибо![/I]

Сейчас логи пришлю
17.05.2010, 10:58
polword

что с проблемой?
17.05.2010, 11:08
Multq

Баннер исчез, но при входе в учетку вылезает окно, что при загрузке не найден указанный модуль "../Temp/wfeq.dll"
17.05.2010, 11:42
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]

проверте
17.05.2010, 12:01
Multq

Окно не исчезло, но в приветствии и выборе учетной записи исчезла кнопка "Выключить компьютер"
17.05.2010, 12:18
thyrex

Логи делали в проблемной учетке?
17.05.2010, 12:19
Multq

Нет, могу в ней сделать
17.05.2010, 12:21
thyrex

В проблемной и нужно. Делайте
17.05.2010, 12:46
Multq

Сделал
17.05.2010, 14:24
polword

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F3 - REG:win.ini: load=D:\DOCUME~1\8405~1\LOCALS~1\Temp\xec.bat
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\DOCUME~1\8405~1\LOCALS~1\Temp\xec.bat','');
QuarantineFile('D:\WINDOWS\system32\3b031e6e.exe','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
DeleteFile('D:\WINDOWS\system32\3b031e6e.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
17.05.2010, 16:36
thyrex

Дополнительно к совету [B]polword[/B]

Учетка эта ограничена в правах? Нужно дать ей права администратора (временно)

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Мама\Application Data\Microsoft Security Essentials\msseces.exe','');
DeleteFile('D:\Documents and Settings\Мама\Application Data\Microsoft Security Essentials\msseces.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Security Essentials');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
17.05.2010, 20:48
Multq

Сделал

Показывать 40 сообщений этой темы на одной странице