Похабный ad-aware

**Alefnull** · 18.10.2008, 21:40

На компьютере одного моего знакомого поселился какой-то зверь, который ему показывает периодически порно-рекламу во всех браузерах (Opera, Firefox, IE7). Кроме картинок, бывает и текстовая реклама (прилагается во вложении spam.png).

Процедуру, описанную в правилах, полностью выполнить не удается: после запуска "Скрипта лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" вначале зависает svchost.exe, затем winlogon.exe - после чего синий экран смерти. Протоколы при этом не сохраняются.

Прилагаю все протоколы, которые получились.

Кое-как удалось установить, что если заблокировать один из tcp-портов (наизусть не запомнил - кажется, 2698), то вместо похабной рекламы возникает только пустое окно. Текстовая нежелательная реклама в браузерах таким образом не убирается.

Сканировал cureit и его аналогом от AVP. Кое-что обнаружил - но это не помогло. На машине установлен avast home, sunbelt kerio firewall.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 18.10.2008, 21:53

В логах чисто, попробуйте поискать файлы с помощью AVZ по такой маске *.js , все что найдет заархивировать и прислать нам...

**Alefnull** · 19.10.2008, 16:12

Сообщение от Гриша

В логах чисто, попробуйте поискать файлы с помощью AVZ по такой маске *.js , все что найдет заархивировать и прислать нам...

Залил. Результат загрузки:
Файл сохранён как 081019_070940_js-2008-10-19_48fb23844f15c.zip
Размер файла 951770
MD5 e9b86d0df7d5a9dd8624093ebbc861d1

Удивляет, что во время запуска первого из скриптов AVZ (с лечением) винда падает в конце концов в синий экран. Есть ли какие-нибудь другие способы запуска этого скрипта?

**Гриша** · 19.10.2008, 16:14

Причиной может быть драйвер защитного софта, который давит антируткит AVZ и вызывает синьку...

По карантину будем ждать ответа аналитиков...

**Alefnull** · 21.10.2008, 20:12

Посоветуйте, пожалуйста, что-нибудь, кроме переустановки винды. Может, нужно прислать еще что-нибудь?

**Гриша** · 21.10.2008, 20:21

Бсоды продолжаются?

**Alefnull** · 22.10.2008, 19:56

Сообщение от Гриша

Бсоды продолжаются?

Бсоды - только если пытаться запустить скрипт AVZ с лечением. Продолжается похабная реклама.

**Rene-gad** · 22.10.2008, 20:19

Сообщение от Alefnull

Бсоды - только если пытаться запустить скрипт AVZ с лечением.

Уже в течение 4-х дней Вы замалчиваете народу правду: ЧТО НАПИСАНО НА БСОДЕ???

**Alefnull** · 24.10.2008, 18:49

Сообщение от Rene-gad

Уже в течение 4-х дней Вы замалчиваете народу правду: ЧТО НАПИСАНО НА БСОДЕ???

Скриншот прилагается.

Забыл еще упомянуть, что загружался с live-cd, сканировал свежим cureit, kaspersky virus removal tool. Кое-что нашлось, но лечение/удаление не помогло, симптомы остались.