Сайт заблокирован.

Printable View

11.09.2008, 18:20
Remake

Вложений: 3

Сайт заблокирован.

При заходе на сайты выдает:

[QUOTE]Сайт заблокирован провайдером

Сайт заблокирован провайдером за нарушение 242 статьи УК РФ (Незаконное распространение порнографических материалов или предметов). Доступ к сайту возможен только по альтернативным каналам связи Global Telecom. Активация канала производится путем отправки SMS dat 200195 на номер : 9099 (Мегафон, Билайн), 4161 - все остальные операторы.
SMS код::

*Стоимость SMS: 28.11 р.(МТС), 29.28 р.(Билайн), 27 р.(Мегафон).
[/QUOTE]

В добавок вылетают баннеры с рекламой.
Помогите решить проблему.
11.09.2008, 18:37
Rene-gad

O14 - IERESET.INF: START_PAGE_URL=http://www.kraftway.ru
Вам известен?
В принципе ничего зловредного не нашел.
[url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
11.09.2008, 19:03
Remake

Rene-gad,
сайт известен.
Все очистил, проблема осталась.
Нашел тему, в которой описывается аналогичная проблема. Также обнаружил googletoolbar1.dll и у себя. Возможно в нем проблема?
11.09.2008, 20:15
kps

По какому пути находится этот файл googletoolbar1.dll ? Укажите полный путь к нему.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SetAVZPMStatus(true);
DelBHO('6D7B211A-88EA-490c-BAB9-3600D8D7C503');
DelBHO('86A44EF7-78FC-4e18-A564-B18F806F7F56');
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.
Сделайте новые логи.
11.09.2008, 21:11
Remake

Вложений: 3

[quote]По какому пути находится этот файл googletoolbar1.dll ? Укажите полный путь к нему.[/quote]

C:\Documents and Settings\Alexey.KRAFTWAY-7B66B4\Google\googletoolbar1.dll
11.09.2008, 21:28
V_Bond

C:\Documents and Settings\Alexey.KRAFTWAY-7B66B4\Google\googletoolbar1.dll
пришлите согласно приложения 2 правил ....
11.09.2008, 21:54
Remake

Файл сохранён как 080911_125404_virus_48c95b3cb6a78.zip
Размер файла 23890
MD5 145ca38e181de42bb9b71a2f9e330bd9
11.09.2008, 22:08
V_Bond

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Alexey.KRAFTWAY-7B66B4\Google\googletoolbar1.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
12.09.2008, 16:33
Remake

Вложений: 3

К сожалению не помогло -(
Прикрепил новые логи на всякий.

---------------------------------

Запретил в аутпосте ипы, с которых шла реклама. Вроде больше не вылезает.
12.09.2008, 17:06
kps

C:\Documents and Settings\Alexey.KRAFTWAY-7B66B4\Google\googletoolbar1.dll
Вот этого файла на диске уже нет ? Можете посмотреть в IceSword?

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\MP3 Player Utilities 4.00\DelDrv.exe','');
QuarantineFile('C:\WINDOWS.0\Downloaded Program Files\DyynoX.dll','');
QuarantineFile('C:\Program Files\ICQ6\ICQ.exe','');
QuarantineFile('c:\games\css\steam.exe','');
QuarantineFile('C:\WINDOWS.0\system32\FLIQLO.scr','');
QuarantineFile('C:\WINDOWS.0\system32\Drivers\NTIOWP.sys','');
QuarantineFile('C:\Program Files\GreedyTorrent\GTor.exe','');
QuarantineFile('C:\Documents and Settings\Alexey.KRAFTWAY-7B66B4\Application Data\Mra\Update\mrasearch.dll','');
QuarantineFile('C:\DOCUME~1\ALEXEY~1.KRA\APPLIC~1\Mra\Update\menu.dll','');
QuarantineFile('C:\Program Files\DCodDownloader\dcd.exe','');
QuarantineFile('C:\Program Files\DCodDownloader\fannfloat.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=30004[/url] ).

Скачайте [url=http://www.gmer.net/gmer.zip]Gmer[/url]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
12.09.2008, 18:45
Remake

Вложений: 1

[QUOTE]C:\Documents and Settings\Alexey.KRAFTWAY-7B66B4\Google\googletoolbar1.dll
Вот этого файла на диске уже нет ? Можете посмотреть в IceSword?[/QUOTE]
Удален. IceSword не нашел.
[QUOTE]Пришлите карантин согласно приложению №3 правил[/QUOTE]
Файл сохранён как 080912_093121_virus_48ca7d396fb8b.zip
Размер файла 2993890
MD5 5369cc3c3e59ee95179a507121a899f9

Gmer log
12.09.2008, 19:06
kps

C:\WINDOWS.0\System32\Drivers\as73cp53.SYS
Вот этот файл в IceSword видно?
12.09.2008, 20:39
Remake

[QUOTE=kps;282884]C:\WINDOWS.0\System32\Drivers\as73cp53.SYS
Вот этот файл в IceSword видно?[/QUOTE]

Нет, не показывает.
12.09.2008, 23:08
kps

Подождем ответа аналитиков о Вашем карантине.
13.09.2008, 13:06
Remake

Подождем.
13.09.2008, 15:07
kps

Присланные файлы из последнего карантина чистые, единственное - C:\Program Files\MP3 Player Utilities 4.00\DelDrv.exe - Riskware, но это к делу, думаю, не относится, он же неактивен.

Сделайте полную проверку компьютера утилитой [url=ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe]CureIt![/url] и [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url]. Может, они что-то найдут.
23.09.2008, 22:29
Remake

Вложений: 3

В айсворде нашел файлы ichtu.exe, который пропал после сбора инфы с помощью AVZ, но остался ICHTU.EXE-25D82D50.pf (C:\WINDOWS.0\Prefetch). Без понятия что это.

Посмотрите плиз новые логи, т.к проблема осталась -(
23.09.2008, 23:28
kps

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Alexey.KRAFTWAY-7B66B4\ichtu.exe','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\MTiCtwl.sys','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\MTictwl.sys','');
QuarantineFile('C:\WINDOWS.0\0\System32\Drivers\SCSIPORT.SYS','');
QuarantineFile('C:\WINDOWS.0\0\system32\ntkrnlpa.exe','');
QuarantineFile('C:\WINDOWS.0\0\system32\ntdll.dll','');
QuarantineFile('C:\WINDOWS.0\0\system32\hal.dll','');
QuarantineFile('C:\WINDOWS.0\system32\nvsvc32.exe','');
QuarantineFile('C:\WINDOWS.0\System32\WS2_32.dll','');
DeleteFile('C:\Documents and Settings\Alexey.KRAFTWAY-7B66B4\ichtu.exe');
BC_ImportALL;
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Userinit', 'C:\WINDOWS.0\system32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=30004[/url] ).

Сделайте новые логи.

Вы полностью проверяли компьютер обоими утилитами, которые я Вам рекомендовал выше ?
24.09.2008, 21:56
Remake

Вложений: 3

[QUOTE]Пришлите карантин по правилам (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=30004[/url] ).[/QUOTE]
Файл сохранён как 080924_121559_virus_48da75cf45638.zip
[QUOTE]Вы полностью проверяли компьютер обоими утилитами, которые я Вам рекомендовал выше ?[/QUOTE]
ничего кроме файлов карантина антивируса и фаервола не нашли.
25.09.2008, 11:04
Rene-gad

Ничего подозрительного не видно.
25.09.2008, 13:52
kps

Проблема не исчезла ?
25.09.2008, 14:31
Remake

К сожалению нет. Когда антивирус и фаервол работают, то все норм, а когда выключить кого-нибудь из них, неважно кого (нод32 не выгружается, приходилось удалять, чтобы проверить), то вирус опять дает о себе знать.
+ Я не могу выгрузить нод из процессов при снятии логов, возможно из-за этого что-то в них не показывается. Или такого не может быть?
25.09.2008, 14:45
kps

Попробуйте сделать так:
1) временно удалить НОД
2) временно удалить эмулятор дисков (после удаления эмулятора дисков (алкоголь или даемон тулз) из установки/удаления программ еще такой скрипт в AVZ выполните:
[code]begin
QuarantineFile('C:\WINDOWS.0\System32\Drivers\sptd.sys','');
DeleteFile('C:\WINDOWS.0\System32\Drivers\sptd.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('sptd');
BC_Activate;
RebootWindows(true);
end.[/code] компьютер перезагрузится)
3) Отключить файервол
4) Запустите Ваш браузер
Когда появится проблема, то сделайте лог syscure по правилам и прикрепите.
25.09.2008, 16:24
Remake

Все, вроде избавился.
В параметрах Java в Опере убрал путь к файлу browser_def.js и все исчезло. Webwasher-Gateway 6.6.2 2008.09.25 на вирустотале нашел в нем JavaScript.Shellcode.gen!High (suspicious). Что мне сделать с этим файлом?
25.09.2008, 17:01
kps

Этот файл запакуйте в архив с паролем virus и пришлите его нам сюда [url]http://virusinfo.info/upload_virus.php?tid=30004[/url]
27.09.2008, 11:27
Remake

Файл сохранён как 080926_235605_virus_48ddbce5e85c7.zip
22.02.2009, 07:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]91[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\alexey.kraftway-7b66b4\\google\\googletoolbar1.dll - [B]not-a-virus:AdWare.Win32.Agent.exb[/B] (DrWEB: Trojan.Ieprom.3)[*] c:\\program files\\mp3 player utilities 4.00\\deldrv.exe - [B]not-a-virus:RiskTool.Win32.Deleter.e[/B][*] c:\\windows.0\\system32\\ws2_32.dll - [B]Trojan.Win32.Patched.di[/B][/LIST][/LIST]