2in1

[STORKpwnz]

Здарвствуйте, у меня две проблемы:
1. Во всех браузерах баннер блокирует вконтакте, просит подтвердить владение им, при нажатии на лубую кнопку просит ввести номер телефона.
После ввода приходит смс, в смс написано чтобы я отправил другое смс куда то ещё, проверил номер через гугл - говорят мошенники.
2. На другой винде баннер на экране, блокирует винду и якобы я смотрел/копировал/тироживал материалы содержающие элементы педофилии или что то типо этого. Просит выслать 400р на мтс номер - 89897520761.
На компьютере 2 винды, пишу я сейчас с рабочей, проблема на второй. Можно чтото сделать чтобы разблокировать вторую виндус этой?
Баннер блочит пуск, диспетчер и тд. Перед тем, как поймал баннер вылезла какая то фигня с Java в трее.

[Info_bot]

Уважаемый(ая) STORKpwnz, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Пофиксите в HiJack

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=C:\windows\explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 193.218.156.156 www.vkontakte.ru
O1 - Hosts: 193.218.156.156 www.vk.com
O1 - Hosts: 193.218.156.156 vkontakte.ru
O1 - Hosts: 193.218.156.156 vk.com
O1 - Hosts: 193.218.156.156 www.odnoklassniki.ru
O1 - Hosts: 193.218.156.156 odnoklassniki.ru
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)

Сделайте лог полного сканирования МВАМ (сами ничего не удаляйте)

[STORKpwnz]

С 1 проблемой всё решено, 2 актуальна.
Вот логи:

[thyrex]

Удалите в МВАМ только указанные строки

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Зараженные папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.

Зараженные файлы:
c:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\application data\lsass.exe (Trojan.Delf) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.17522896555070588.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.1690770754765244.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.3457869858616487.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.4956905274859734.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5416161711719851.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5440076690932493.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5513044630989075.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5534041063122094.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5844504701380624.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5975716676572871.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.7498002580158696.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8468193706316115.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8523588507000089.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8609399862111732.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9259398144707442.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9584291667131395.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9760379713827865.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.389890043475266.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.570565674430977.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\all users.windows.0\application data\22CC6C32.exe (Trojan.Ransom) -> No action taken.

Пробуйте стартовать в проблемной системе. Есть предположение, что придется править в ней параметры в реестре, особенно параметр userinit (см. http://virusinfo.info/showthread.php?t=51777)

[STORKpwnz]

Удалил, загрузился в проблемной системе. Баннер пропал, но не рабочего стола, не пуска, ничего нет.
С проблемной винды попробовал сделать - http://virusinfo.info/showthread.php?t=51777
Но безуспешно, пишет:
Не удается загрузить C:\WINDOWS.0\system32\config\software. Процесс не может получить доступ к файлу, так как этот файл используется другим процессом.
Или нужно было с рабочей винды это делать?

[STORKpwnz]

Вот логи с проблемной винды.

[thyrex]

Пофиксите в HiJack

Код:

F2 - REG:system.ini: Shell=C:\Documents and Settings\All Users.WINDOWS.0\Application Data\22CC6C32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\Application Data\lsass.exe

Проблема решена?

[STORKpwnz]

Проблема решилась на 1 раз, появился пуск и рабочий стол и тд. Перезагрузил компьютер и баннер появился опять.

[STORKpwnz]

Сделал новый лог MBAM с работающе системы, на проблемную зайти не могу снова, баннер вновь появился и блокирует всё.
Вот лог, что удалять ?

[thyrex]

Удалите в МВАМ только указанные строки

Код:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Зараженные файлы:
c:\documents and settings\all users.windows.0\application data\22CC6C32.exe (Trojan.Ransom) -> No action taken.

[STORKpwnz]

Удалил, баннер остался

[V_Bond]

банер на другой системе , я так понимаю ? ее никто и не лечил ...

[STORKpwnz]

Да, на другой

Добавлено через 7 часов 52 минуты

банер на другой системе , я так понимаю ? ее никто и не лечил ...

Но после выполнения этих действий:

Удалите в МВАМ только указанные строки

Код:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Зараженные папки:
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.

Зараженные файлы:
c:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\application data\lsass.exe (Trojan.Delf) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.17522896555070588.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.1690770754765244.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.3457869858616487.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.4956905274859734.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5416161711719851.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5440076690932493.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5513044630989075.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5534041063122094.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5844504701380624.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.5975716676572871.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.7498002580158696.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8468193706316115.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8523588507000089.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.8609399862111732.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9259398144707442.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9584291667131395.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9760379713827865.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.389890043475266.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.570565674430977.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\all users.windows.0\application data\22CC6C32.exe (Trojan.Ransom) -> No action taken.

Пробуйте стартовать в проблемной системе. Есть предположение, что придется править в ней параметры в реестре, особенно параметр userinit (см. http://virusinfo.info/showthread.php?t=51777)

Баннер пропал, правда опять появился.
Что делать дальше ? Подскажите пожалуйста.

[thyrex]

Лог МВАМ еще раз сделайте

[STORKpwnz]

Вот.

[thyrex]

Удалите в МВАМ только указанные строки

Код:

c:\WinRAR.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\all users.windows.0\application data\22CC6C32.exe (Trojan.Ransom) -> No action taken.

[STORKpwnz]

Удалил, перезагрузился в проблемную систему - без изменений.
Ещё в это папке (c:\documents and settings\all users.windows.0\application data\) нашел непонятный файл vvvKKKKKKK0.exe

[thyrex]

Запакуйте файлы userinit.exe и taskmgr.exe с проблемной системы, а также обнаруженный Вами файл в один архив с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

[STORKpwnz]

Выслал.