Реклама порно

У меня в браузерах Opera Firefox и Explorer постоянно вылазиит окошечко с порно рекламой, практически на любых страницах куда я только не заходил, кстати в Google Chrome я не заметил чтобы вылазило!! (Выполнил всё что написанно в правилах!!)
За ранее спасибо!!

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csdlocalmon.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

Всё выполнил!

Так и вылазиит везде!!

В логах ничего не вижу плохого. Закачанный файл - даже по Вирустотал чистый.
Вы кэш почистили?

Да почистил полностью!

[QUOTE=ildarus;284542]Да почистил полностью![/QUOTE]ОК, вынесем на консилиум. Завтра зайдите, плиз. Самое интересное - что во всех 3-х проводниках.

Хорошо спасибо!

Скриншот сделайте.

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SetAVZPMStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\rspndr.sys','');
QuarantineFile('C:\Documents and Settings\Ildar\Local Settings\Application Data\Google\Update\1.2.131.11\goopdate.dll','');
QuarantineFile('c:\documents and settings\ildar\local settings\application data\google\update\googleupdate.exe','');
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=30293[/url] ).

Сделайте новые логи.

Вот скрины с оперы иногда такой иногда другой постоянно вылазиит!!

Вот логи! Карантин отправил!

Файл [b]Hosts[/b] (по умолчанию в WINDOWS\system32\drivers\etc\hosts) сами удалили или переименовали? Его не виден в отчётах.

Paul

[QUOTE=p2u;284606]Файл [b]Hosts[/b] (по умолчанию в WINDOWS\system32\drivers\etc\hosts) сами удалили или переименовали? Его не виден в отчётах.

Paul[/QUOTE]

Нет, я там ни чего не делал, и не залазил!

[QUOTE=ildarus;284608]Нет, я там ни чего не делал, и не залазил![/QUOTE]
Пуск - Выполнить - [b]regedit[/b] (Enter)
Проверьте ключ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\[b]DataBasePath[/b]
Там указано, где должен находиться файл Hosts.

Paul

Ответьте на пару вопросов, пожалуйста:

1) Ресурс philka.ru вам знаком?
2) Что с вашим Kaspersky Internet Security? Почему он отключен?

Выполните следующее:

1) Запустите браузер (любой) и воспроизведите появление рекламы
2) Откройте AVZ, перейдите Сервис - Диспетчер процессов
3) Выделите щелчком процесс браузера. В нижней части окна появится список используемых DLL; сохраните список и загрузите сюда.

Кроме того,

найдите, упакуйте с паролем и пришлите по правилам файл

C:\Program Files\DivX\DivX Converter\dpil100.dll

[QUOTE=NickGolovko;284678]Ответьте на пару вопросов, пожалуйста:

1) Ресурс philka.ru вам знаком?
2) Что с вашим Kaspersky Internet Security? Почему он отключен?

[/QUOTE]

1) Знакомый! Мне товаришь дал эту сборку винды, она стоит уже с пол года и нормально!
2) "Не знаю! По запарке наверно не включил, когда логи делал, там то включить то отключить его нужно!!"
Вспомнил!! Я его выгружал для наглядности скрина, потому что Анти банер в KIS режет некоторые всплывающие изображения, а само окошко всё равно остаётся и бегает когда двигаешь скролом страницу!


А остальное только вечером сделать смогу т.к. сейчас на работе!!

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 22 минуты[/I][/B][/color][/size]

[QUOTE=p2u;284610]Пуск - Выполнить - [b]regedit[/b] (Enter)
Проверьте ключ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\[b]DataBasePath[/b]
Там указано, где должен находиться файл Hosts.

Paul[/QUOTE]

В реестре вот какой путь %SystemRoot%\System32\drivers\etc

Там Файл Hosts есть только он 0 байт весит, т.е. пустой!

Посмотрите тут: [url]http://virusinfo.info/showpost.php?p=277057&postcount=14[/url]

[QUOTE]Выполните следующее:

1) Запустите браузер (любой) и воспроизведите появление рекламы
2) Откройте AVZ, перейдите Сервис - Диспетчер процессов
3) Выделите щелчком процесс браузера. В нижней части окна появится список используемых DLL; сохраните список и загрузите сюда.

Кроме того,

найдите, упакуйте с паролем и пришлите по правилам файл

C:\Program Files\DivX\DivX Converter\dpil100.dll[/QUOTE]

Всё вроде сделал!!

[QUOTE=Rene-gad;284833]Посмотрите тут: [url]http://virusinfo.info/showpost.php?p=277057&postcount=14[/url][/QUOTE]

Скопировал!!

У меня есть немного подозрение на файл пунто свичера, и помоему как я его установил это началось!! Хотя точно не знаю!!

Судя по симптомам, например этому: "бегает когда двигаешь скролом страницу", код баннера может быть внедрен непосредственно в html-код страницы. Эта же гипотеза объясняет, почему проблема актуальна для большинства браузеров. Давайте проверим ее, прежде чем копать дальше:

1. пришлите исходный код нескольких страничек, на которых есть попапы (меню View->Source)
2. попробуйте отключить в настройках браузеров JavaScript, поможет ли это.

[QUOTE=alisa_sh;284840]Судя по симптомам, например этому: "бегает когда двигаешь скролом страницу", код баннера может быть внедрен непосредственно в html-код страницы. Эта же гипотеза объясняет, почему проблема актуальна для большинства браузеров. Давайте проверим ее, прежде чем копать дальше:

1. пришлите исходный код нескольких страничек, на которых есть попапы (меню View->Source)
2. попробуйте отключить в настройках браузеров JavaScript, поможет ли это.[/QUOTE]

Вот скрипты страниц с 2 видами банеров! Естесственно когда JavaScript выключаешь и всё изчезает!! И еще в параметрах Java был вот такой путь к файлу C:\Documents and Settings\Ildar\Application Data\Opera\opera2\profile\browser_def.js (файл вложил) После удаления пути, вроде больше не появляется! В FireFox видать гдето тоже такой скрипт есть(я не знаю где смотреть), там так и появляется, но вот только от куда это всё взялось??

Webwasher-Gateway 6.6.2 2008.09.17 JavaScript.Shellcode.gen!High В вирус тотале вот такой 1 раз определился!! файл browser_def.js Проверял!

[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]

Здравствуйте.
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.

Trojan.JS.Agent.bz

С уважением,
Андрей Безбородов,
Вирусный Аналитик.

Ура я новый вирус нашел, я тот файл отправил к касперским!))

Помогите пожалуйста его теперь из Фокса как нить вытащить!!

[QUOTE=ildarus;284870]
Помогите пожалуйста его теперь из Фокса как нить вытащить!![/QUOTE]Так а где он точно? Ручками удалить не можете?

[QUOTE=ildarus;284870] Помогите пожалуйста его теперь из Фокса как нить вытащить!![/QUOTE]
В Firefox профиль ваш находится в
C:\Documents and Settings\ВашеИмя\Application Data\Mozilla\Firefox\Profiles
Это - скрытая папка! Перечисляйте ВСЕ файлы с расширением .js внутри этой папки.
Потом надо будет ещё покопаться в IE...

Paul

[QUOTE=Rene-gad;284884]Так а где он точно? Ручками удалить не можете?[/QUOTE]

В опере та я его удалил а в фоксе всё равно показывает!!

[QUOTE=ildarus;284896]В опере та я его удалил а в фоксе всё равно показывает!![/QUOTE]
Естественно. Делайте как я говорил: искать в:
C:\Documents and Settings\ВашеИмя\Application Data\Mozilla\Firefox\Profiles
Перечисляйте ВСЕ файлы с расширением .js внутри этой папки. Пока удалить ничего нельзя!

Paul

[QUOTE=p2u;284899]Естественно. Делайте как я говорил: искать в:
C:\Documents and Settings\ВашеИмя\Application Data\Mozilla\Firefox\Profiles
Перечисляйте ВСЕ файлы с расширением .js внутри этой папки. Пока удалить ничего нельзя!

Paul[/QUOTE]

Только у меня путь еще длиннее: C:\Documents and Settings\Ildar\Application Data\Mozilla\Firefox\Profiles\967dm6q8.default\
prefs.js вот только такой файл есть!

[QUOTE=ildarus;284900]Только у меня путь еще длиннее: C:\Documents and Settings\Ildar\Application Data\Mozilla\Firefox\Profiles\967dm6q8.default\
prefs.js вот только такой файл есть![/QUOTE]
Давайте файл сюда в .rar, плиз.

Paul

[QUOTE=p2u;284906]Давайте файл сюда в .rar, плиз.

Paul[/QUOTE]

Вот! Но там помоему всё в порядке!!

[QUOTE=ildarus;284908]Вот! Но там помоему всё в порядке!![/QUOTE]
Да, там ничего нет. Пуск - Выполнить - [b]%temp%[/b].
Что там находится?

Paul

[QUOTE=p2u;284909]Да, там ничего нет. Пуск - Выполнить - [b]%temp%[/b].
Что там находится?

Paul[/QUOTE]

Временные файлы, тоже ничего особенного нет, и скриптов нет!!

1) Запустите Firefox и воспроизведите появление рекламы
2) Откройте AVZ, перейдите на вкладку 'Сервис' - 'Диспетчер процессов'
3) Выделите щелчком процесс браузера. В нижней части окна появится список используемых DLL; сохраните список и загрузите сюда.

Какие адд-онс и плаг-инс у вас установлены в Firefox?

Paul

Да обычные стандартные плагины!
Список процессов и скрин плагинов, аддонов у меня нет!!

[QUOTE=ildarus;285006]Да обычные стандартные плагины!
Список процессов и скрин плагинов, аддонов у меня нет!![/QUOTE]
Расширения покажите ещё, пожалуйста. :)

Paul

[QUOTE=p2u;285013]Расширения покажите ещё, пожалуйста. :)

Paul[/QUOTE]

В расширениях вообще пусто!!

В случае с Firefox - можно поискать схожий троянский файл (Trojan.JS.Shellcode) по всему диску, поиском внутри файлов по строке. Возьмите любую строку из javascript троянца, только не название переменных, а что-нибудь типа ".length/3;" или "='';var ".

Ну и само собой, прогнать полное сканирование системы антивирусом - поскольку файл добавлен в базу, есть шанс, что найдутся похожие.

Всё решил проблему с FireFox теперь и там не всплывает окно! Файл main.js находился по адресу C:\Program Files\Mozilla
> Firefox\extensions\googletoolbar@1\chrome\content он какимто образом подгружался постоянно в браузер уже как другой скрипт не как в опере!
Ответ касперского!

Здравствуйте.
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.

Trojan.JS.Agent.cd

Надеюсь, кому нибудь пригодится то что я обнаружил эти 2 вируса! Всем спасибо!!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]