2in1

Здарвствуйте, у меня две проблемы:
1. Во всех браузерах баннер блокирует вконтакте, просит подтвердить владение им, при нажатии на лубую кнопку просит ввести номер телефона.
После ввода приходит смс, в смс написано чтобы я отправил другое смс куда то ещё, проверил номер через гугл - говорят мошенники.
2. На другой винде баннер на экране, блокирует винду и якобы я смотрел/копировал/тироживал материалы содержающие элементы педофилии или что то типо этого. Просит выслать 400р на мтс номер - 89897520761.
На компьютере 2 винды, пишу я сейчас с рабочей, проблема на второй. Можно чтото сделать чтобы разблокировать вторую виндус этой?
Баннер блочит пуск, диспетчер и тд. Перед тем, как поймал баннер вылезла какая то фигня с Java в трее.

Уважаемый(ая) [B]STORKpwnz[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].

Пофиксите в HiJack
[CODE]R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=C:\windows\explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 193.218.156.156 www.vkontakte.ru
O1 - Hosts: 193.218.156.156 www.vk.com
O1 - Hosts: 193.218.156.156 vkontakte.ru
O1 - Hosts: 193.218.156.156 vk.com
O1 - Hosts: 193.218.156.156 www.odnoklassniki.ru
O1 - Hosts: 193.218.156.156 odnoklassniki.ru
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)[/CODE]

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url] (сами ничего не удаляйте)

С 1 проблемой всё решено, 2 актуальна.
Вот логи:

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Зараженные папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.

Зараженные файлы:
c:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\application data\lsass.exe (Trojan.Delf) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.17522896555070588.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.1690770754765244.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.3457869858616487.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.4956905274859734.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5416161711719851.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5440076690932493.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5513044630989075.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5534041063122094.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5844504701380624.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5975716676572871.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.7498002580158696.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8468193706316115.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8523588507000089.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8609399862111732.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9259398144707442.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9584291667131395.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9760379713827865.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.389890043475266.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.570565674430977.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\all users.windows.0\application data\22CC6C32.exe (Trojan.Ransom) -> No action taken.[/code]

Пробуйте стартовать в проблемной системе. Есть предположение, что придется править в ней параметры в реестре, особенно параметр userinit (см. [url]http://virusinfo.info/showthread.php?t=51777[/url])

Удалил, загрузился в проблемной системе. Баннер пропал, но не рабочего стола, не пуска, ничего нет.
С проблемной винды попробовал сделать - [url]http://virusinfo.info/showthread.php?t=51777[/url]
Но безуспешно, пишет:
Не удается загрузить C:\WINDOWS.0\system32\config\software. Процесс не может получить доступ к файлу, так как этот файл используется другим процессом.
Или нужно было с рабочей винды это делать?

Вот логи с проблемной винды.

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: Shell=C:\Documents and Settings\All Users.WINDOWS.0\Application Data\22CC6C32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\Application Data\lsass.exe[/CODE]

Проблема решена?

Проблема решилась на 1 раз, появился пуск и рабочий стол и тд. Перезагрузил компьютер и баннер появился опять.

Сделал новый лог MBAM с работающе системы, на проблемную зайти не могу снова, баннер вновь появился и блокирует всё.
Вот лог, что удалять ?

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Зараженные файлы:
c:\documents and settings\all users.windows.0\application data\22CC6C32.exe (Trojan.Ransom) -> No action taken.[/code]

Удалил, баннер остался :(

банер на другой системе , я так понимаю ? ее никто и не лечил ...

Да, на другой

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 52 минуты[/I][/B][/color][/size]

[QUOTE=V_Bond;797302]банер на другой системе , я так понимаю ? ее никто и не лечил ...[/QUOTE]
Но после выполнения этих действий:

[QUOTE=thyrex;796995][url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Зараженные папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.

Зараженные файлы:
c:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\application data\lsass.exe (Trojan.Delf) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.17522896555070588.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.1690770754765244.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.3457869858616487.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.4956905274859734.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5416161711719851.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5440076690932493.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5513044630989075.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5534041063122094.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5844504701380624.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5975716676572871.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.7498002580158696.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8468193706316115.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8523588507000089.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8609399862111732.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9259398144707442.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9584291667131395.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9760379713827865.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.389890043475266.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.570565674430977.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\all users.windows.0\application data\22CC6C32.exe (Trojan.Ransom) -> No action taken.[/code]

Пробуйте стартовать в проблемной системе. Есть предположение, что придется править в ней параметры в реестре, особенно параметр userinit (см. [url]http://virusinfo.info/showthread.php?t=51777[/url])[/QUOTE]

Баннер пропал, правда опять появился.
Что делать дальше ? Подскажите пожалуйста.

Лог МВАМ еще раз сделайте

Вот.

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]c:\WinRAR.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\all users.windows.0\application data\22CC6C32.exe (Trojan.Ransom) -> No action taken.[/code]

Удалил, перезагрузился в проблемную систему - без изменений.
Ещё в это папке (c:\documents and settings\all users.windows.0\application data\) нашел непонятный файл vvvKKKKKKK0.exe

Запакуйте файлы userinit.exe и taskmgr.exe с проблемной системы, а также обнаруженный Вами файл в один архив с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Выслал.

Найденный Вами файл удалите.
[B]userinit.exe[/B] заражен. Заменяйте его чистым с дистрибутива (или копируйте с работающей системы, [B]если они аналогичны[/B]).

Если снова появился c:\documents and settings\all users.windows.0\application data\22CC6C32.exe, тоже удаляйте

Пробуйте стартовать

Всё выполнил, userinit.exe заменил.
Проблемная система загрузилась без баннера, но опять не пуска, не раб. стола.
Через диспетчер открыл експлорер, сейчас сделаю логи.
---
Пофиксил в HiJack
[CODE]F2 - REG:system.ini: Shell=C:\Documents and Settings\All Users.WINDOWS.0\Application Data\22CC6C32.exe[/CODE]
Винда загружается нормально, с пуском и прочим, логи всё ещё нужны на всякий случай ?

Вот новые логи.

Порядок

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\userinit.exe - [B]Trojan-Ransom.Win32.PornoAsset.uj[/B] ( DrWEB: Trojan.Fakealert.21952, BitDefender: Trojan.Generic.KDV.249230, AVAST4: Win32:MalOb-IJ [Cryp] )[*] \\vvvkkkkkkk0.exe - [B]Trojan-Ransom.Win32.PornoAsset.uj[/B] ( DrWEB: Trojan.Fakealert.21952, BitDefender: Trojan.Generic.KDV.249230, AVAST4: Win32:MalOb-IJ [Cryp] )[/LIST][/LIST]