Вылезает порнобаннер

Printable View

11.05.2010, 21:57
Multq

Вылезает порнобаннер

Еще раз здравствуйте :)

На компьютере 3 учетные записи - администраторская (с паролем), ограниченная (без пароля) и ограниченная (с паролем). На второй (и только на ней) при каждой загрузке Windows сверху рабочего стола вылезает порнобаннер, требующий отправить СМС якобы чтобы убрать подписку. Он заслоняет окна и на администраторской учетной записи, пока он висит, AVZ не дает посмотреть список процессов.

Через Ctrl+Alt+Delete этот баннер спокойно убирается (приходится убивать процесс), но при новой загрузке Windows он снова появляется. Имя у процесса каждый раз другое (состоит из кучи символов). ESET Smart Security и CureIt молчат как партизаны.

Смог провести требуемую Вами проверку при убранном баннере, с баннером как-то не пытался.
11.05.2010, 22:07
ARMA9000

Логи желательно сделать при баннере и под той учеткой, в которой появляется баннер.
11.05.2010, 22:12
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Мама\Local Settings\Temp\Xaay.exe','');
DeleteFile('D:\Documents and Settings\Мама\Local Settings\Temp\Xaay.exe');
QuarantineFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\WPI7C5YJ\HelpLA_lib[1].js','');
DeleteFile('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\WPI7C5YJ\HelpLA_lib[1].js');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
12.05.2010, 00:00
Multq

Большое спасибо, баннер исчез :)

Высылаю карантин и новые логи.

[I]Результат загрузки
Файл сохранён как 100511_235912_virus_4be9b7104ca05.zip
Размер файла 4035
MD5 fecb30e25593e5fb3869f51381e4a1eb
Файл закачан, спасибо![/I]
12.05.2010, 00:14
thyrex

Чисто

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все новые патчи
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый
Обновите [url="http://www.java.com/ru/download/manual.jsp"]JavaRE[/url]
17.05.2010, 01:02
Multq

Вылез новый порнобаннер...

Он еще злее, не дает себя закрыть через диспетчер задач (диспетчер сразу закрывается), много чего сразу закрывается: Меню пуск, Alt+Tab. Причем опять же с той же учетной записи. Проверил опять на администраторской, где ничего не мешает.
17.05.2010, 08:18
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask('D:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFileMask('D:\Documents and Settings\Мама\Local Settings\Temp', '*.exe', false);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.[/CODE]

Выполните рекомендации из поста №5
17.05.2010, 09:28
thyrex

Перед выполнением совета [B]polword[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Мама\Local Settings\Temp\krvvuteyo.dll','');
QuarantineFile('D:\Documents and Settings\Мама\Local Settings\Temp\wfeq.dll','');
DeleteFile('D:\Documents and Settings\Мама\Local Settings\Temp\krvvuteyo.dll');
DeleteFile('D:\Documents and Settings\Мама\Local Settings\Temp\wfeq.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
17.05.2010, 10:51
Multq

[I]
Результат загрузки
Файл сохранён как 100517_105047_virus_4bf0e747e286b.zip
Размер файла 273695
MD5 c4dcd4b7be6e760bf2d3932cd47bd402
Файл закачан, спасибо![/I]

Сейчас логи пришлю
17.05.2010, 10:58
polword

что с проблемой?
17.05.2010, 11:08
Multq

Баннер исчез, но при входе в учетку вылезает окно, что при загрузке не найден указанный модуль "../Temp/wfeq.dll"
17.05.2010, 11:42
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]

проверте
17.05.2010, 12:01
Multq

Окно не исчезло, но в приветствии и выборе учетной записи исчезла кнопка "Выключить компьютер"
17.05.2010, 12:18
thyrex

Логи делали в проблемной учетке?
17.05.2010, 12:19
Multq

Нет, могу в ней сделать
17.05.2010, 12:21
thyrex

В проблемной и нужно. Делайте
17.05.2010, 12:46
Multq

Сделал
17.05.2010, 14:24
polword

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F3 - REG:win.ini: load=D:\DOCUME~1\8405~1\LOCALS~1\Temp\xec.bat
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\DOCUME~1\8405~1\LOCALS~1\Temp\xec.bat','');
QuarantineFile('D:\WINDOWS\system32\3b031e6e.exe','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
DeleteFile('D:\WINDOWS\system32\3b031e6e.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
17.05.2010, 16:36
thyrex

Дополнительно к совету [B]polword[/B]

Учетка эта ограничена в правах? Нужно дать ей права администратора (временно)

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Мама\Application Data\Microsoft Security Essentials\msseces.exe','');
DeleteFile('D:\Documents and Settings\Мама\Application Data\Microsoft Security Essentials\msseces.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Security Essentials');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
17.05.2010, 20:48
Multq

Сделал
17.05.2010, 20:50
Multq

Результат загрузки
Файл сохранён как 100517_204959_virus_4bf173b73708d.zip
Размер файла 2366
MD5 29e8175deac991466250c344a4c9364a

Файл закачан, спасибо!
17.05.2010, 20:51
thyrex

Плохого не видно. Проблема решена?
17.05.2010, 20:51
Multq

Да, решена. Еще раз спасибо) А помешает ее возникновению создание пароля на проблемной учетке?

+ И как вернуть кнопку "Выключить компьютер" в окне выбора учетки? Она пропала после выполнения совета в 12 сообщении)
17.05.2010, 20:59
thyrex

[QUOTE='Multq;638692']И как вернуть кнопку "Выключить компьютер" в окне выбора учетки[/QUOTE]Попробуйте совет [B]Umnik[/B] [url]http://www.izcity.com/faq/winxp/question6360.html[/url]
17.05.2010, 21:02
Multq

[QUOTE=thyrex;638697]Попробуйте совет [B]Umnik[/B] [URL]http://www.izcity.com/faq/winxp/question6360.html[/URL][/QUOTE]

Нет раздела Policies...
17.05.2010, 21:08
thyrex

Не может такого быть
17.05.2010, 21:13
Multq

Вот так нету...

[url]http://s40.radikal.ru/i090/1005/c0/d6cf03e669ff.jpg[/url]
17.05.2010, 21:25
thyrex

Хм, тогда придется Вам создать раздел [B]Policies[/B], в нем раздел [B]Explorer[/B]
А дальше создать соответствующий параметр
24.05.2010, 23:07
Multq

Продолжает вылезать :( Что с этим делать? ESET Smart Security, видимо, не справляется.

Смог сделать логи при включенном баннере, но нельзя было запустить никакой браузер.
24.05.2010, 23:36
Шапельский Александр

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\common files\sysaware soft\svhost.exe','');
TerminateProcessByName('c:\program files\common files\sysaware soft\svhost.exe');
DeleteFilemask('c:\program files\common files\sysaware soft','*.*',true);
DeleteDirectory('c:\program files\common files\sysaware soft');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','shell');
BC_ImportAll;
ExecuteSysClean;
Executerepair(5);
Executerepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
25.05.2010, 11:24
Multq

Перестал вылезать) Что посоветуете сделать, чтобы он не вылезал? А то третий раз уже.

Карантин отправил
25.05.2010, 11:47
polword

-почистите систему [URL="http://virusinfo.info/showthread.php?t=10025"] так[/URL]
-выполните обязательно рекомендации [B]thyrex[/B] из поста №5
27.05.2010, 18:15
Multq

То ли родители, то ли еще что-то, но баннер опять вылез..

Причем почему-то удалились экзешники мозиллы и эксплорера (пришлось переустанавливать), и с компьютера почему-то нельзя зайти именно на ваш сайт.
27.05.2010, 20:52
thyrex

[QUOTE='Multq;644866']То ли родители, то ли еще что-то, но баннер опять вылез..[/QUOTE]ВКонтакте и Одноклассники посещаете? Попробуйте пароли сменить

Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\iyCFXvW.exe,\\?\globalroot\systemroot\system32\RXKnqWX.exe,
[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\common files\sysaware soft\svhost.exe');
QuarantineFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\RXKnqWX.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\RXKnqWX.exe');
DeleteFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe');
DeleteFileMask('C:\Program Files\Common Files\SysAware Soft', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\SysAware Soft');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(20);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
27.05.2010, 23:39
Multq

Сделал
28.05.2010, 01:19
thyrex

Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а на указанный e-mail отправьте письмо со ссылкой на скачивание.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\windows\system32\qkQYtqC.exe','');
DeleteFile('d:\windows\system32\qkQYtqC.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Что сейчас с проблемой?
28.05.2010, 18:53
Multq

Все отправил, проблема исчезла еще до Вашего последнего сообщения
29.05.2010, 18:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\common files\sysaware soft\svhost.exe - [B]Trojan-Ransom.Win32.PinkBlocker.bkl[/B][*] c:\program files\common files\sysaware soft\svhost.exe - [B]Packed.Win32.Krap.gx[/B] ( DrWEB: Trojan.Winlock.1765 )[*] d:\windows\system32\qkqytqc.exe - [B]Trojan-Dropper.Win32.Shiz.dy[/B] ( DrWEB: Trojan.Packed.20385, NOD32: Win32/Spy.Shiz.NBD trojan )[*] \\?\globalroot\systemroot\system32\rxknqwx.exe - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.Packed.20375, BitDefender: Trojan.Generic.4097758, AVAST4: Win32:Malware-gen )[/LIST][/LIST]