Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Появление "левых" баннеров. (заявка № 47336)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    46

    Thumbs up Появление "левых" баннеров.

    Проблема в том, что во всех браузерах и на многих сайтах одни и те же порно баннеры появляются. даже на этом форуме и то они есть (принтскрин прикрепляю).
    И так на многих популярных сайтах одни и те же порно баннера. Даже на тех сайтах где рекламы не должно быть! Пробовал разные браузеры, все одно и тоже, эти баннера всегда. При том, что эти баннера всегда умно размещаются в рекламные блоки сайтов, при этом
    Все эти баннера ведут на разные порно сайты, и все проходят через сайт http://teasernet.ru/, ссылки на баннерах выглядят так:
    Код:
    http://echo.teasernet.ru/step2.php?c=t5AIwFN1xihxP9uwZGobgWCuaTM25HB2Bz%2BVt7oftqe2k2Jx7j79vOO2mPHu9fKJhRQb3BM1YQAuyPYRjVXYAn2F6Kr2ogIASyPUxgZB3CFCGECC6tmh8lBq0yB%2BB49n8t1zr6kSJUSPGedKHjppeqwQmbY6qJVPFusGG0jRQvtoddouC0grVIDbvYqAcOvbocJKf4NwPcc4udYABCKRtiFP7p%2BWwwRw&ts=5139

    это скорее всего вирус этого сайта, и рядом с этими баннерами всегда ссылка "реклама на сайте" которая ведет на их сайт http://teasernet.ru/.


    Еще проблема в том, что AVZ в конце проверки, всегда зависает, из-за этого не получить логи.
    Раньше он тоже зависал, но лечился скриптом
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('navigator');
     DeleteService('navigator');
     DeleteFile('C:\WINDOWS\fd.dll');
    BC_ImportDeletedList;
     BC_DeleteSvc('navigator');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сейчас же этот скрипт не помогает, AVZ все равно зависает.
    Изображения Изображения
    • Тип файла: jpg Clip_3.jpg (323.5 Кб, 16 просмотров)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Проверку компьютера с помощью AVPTool делали?
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    46
    не AVPTool , не CureIt! ничего не нашли.

    Более того, когда в AVPTool выбераешь "ручное лечение" он тоже зависает по типу как и AVZ.
    на пункте
    Код:
    06.06.2009 1:39:59	Выполняется исследование системы...
    Вообщем зависает на 43%.
    Лог от AVP ниже.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Хорошо, будем разбираться. Скачайте AVZ которая у меня в подписи и сделайте полный комплект логов по правилам. При этом должны быть запущены все браузеры.
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    46
    щяс скачаю, буду пробовать, но думаю будет все-равно зависать.

    в этой теме http://virusinfo.info/showthread.php?t=44058 уже пробовали так, все равно зависал.Может попробовать через "Иследование системы", в безопасном режиме?

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Цитата Сообщение от RWC Посмотреть сообщение
    Может попробовать через "Иследование системы", в безопасном режиме?
    Нет.
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    46
    Special_avz так же зависает.

    Добавлено через 3 минуты

    но до момента зависания,я нажал на стоп, вот часть лога:

    Код:
     Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Видимый процесс с PID=1596, имя = "\Device\HarddiskVolume1\Program Files\DrWeb\spidernt.exe"
     >> обнаружена подмена имени, новое имя = "c:\progra~1\drweb\spidernt.exe"
    Видимый процесс с PID=800, имя = "\Device\HarddiskVolume1\Program Files\DrWeb\spiderui.exe"
     >> обнаружена подмена имени, новое имя = "c:\progra~1\drweb\spiderui.exe" Поиск маскировки процессов и драйверов завершен
     Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867D71F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867D71F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867D71F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 867D71F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867D71F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867D71F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867D71F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867D71F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867D71F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867D71F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 867D71F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 85EBE1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 85EBE1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 85EBE1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 85EBE1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85EBE1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 85EBE1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 85EBE1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 85EBE1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 85EBE1F8 -> перехватчик не определен
     Проверка завершена
    2. Проверка памяти
     Количество найденных процессов: 40
    Анализатор - изучается процесс 924 C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
    [ES]:Приложение не имеет видимых окон
     Количество загруженных модулей: 291
    c:\windows\system32\hnetcfg.dll:):$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла 
    Проверка памяти завершена
    Последний раз редактировалось RWC; 06.06.2009 в 01:09. Причина: Добавлено

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Давайте попробуем сделать такой лог http://virusinfo.info/showthread.php?t=37840

    Предварительно включите драйвер антируткита для расширенного мониторинга модулей ядра (ArKit Driver) и перегрузитесь.

    В меню Logging State поставить галочку на Create ZIP archive и нажмите Start. Созданный архив прикрепите к этой теме.

    Добавлено через 3 минуты

    И еще такой лог http://virusinfo.info/showthread.php?t=40118
    Последний раз редактировалось Aleksandra; 06.06.2009 в 01:32. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    46
    все сделал, логи ниже.
    Вложения Вложения

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    46
    avz_sysinfo.zip-безопасный режим
    avz_sysinfo2.zip-нормальный режим, но без галочки запушенные процессы.
    Вложения Вложения

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    ClearQuarantine; 
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\hnetcfg.dll:):$DATA','');
     DeleteFile('c:\windows\system32\hnetcfg.dll:):$DATA');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=47336

    3. Попробуйте сделать логи в обычном режиме.
    Сердце решает кого любить... Судьба решает с кем быть...

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    46
    c:\windows\system32\hnetcfg.dll:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

    это он и был =) как мы сразу не поняли что это он.

    AVZ заработал, щяс буду делать логи, карантин уже прислал.

    А главное баннеры исчезли =)

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    46
    логи ниже
    Вложения Вложения

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Цитата Сообщение от RWC Посмотреть сообщение
    это он и был =) как мы сразу не поняли что это он.
    Я поняла сразу, что это зловред. Но не думала, что он один способен на такое.
    Сердце решает кого любить... Судьба решает с кем быть...

  16. #15
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    46
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Я поняла сразу, что это зловред. Но не думала, что он один способен на такое.
    как оказалось способен, посмотрите пожалуйста логи от AVZ, там все чисто?

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    В карантине: c:\windows\system32\hnetcfg.dll:$DATA - Gen:Trojan.Heur.Hype.2068979797 (BitDefender)

    Это эвристик. Зловред совсем свежий. Подцепили Вы его, скорее всего, недавно.

    Добавлено через 2 минуты

    Ничего зловредного в логах нет. Что с проблемами?
    Последний раз редактировалось Aleksandra; 06.06.2009 в 04:00. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    46
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    В карантине: c:\windows\system32\hnetcfg.dll:$DATA - Gen:Trojan.Heur.Hype.2068979797 (BitDefender)

    Это эвристик. Зловред совсем свежий. Подцепили Вы его, скорее всего, совсем недавно.
    я же говорил что это что-то новенькое =) Только что не придумают, чтобы увеличить показы баннеров.

    А подцепил я его скорее всего через Flash-API приложение, вконтакте.

    Добавлено через 1 минуту

    Цитата Сообщение от Aleksandra Посмотреть сообщение

    Ничего зловредного в логах нет. Что с проблемами?
    все нормально, спасибо вам большое

    Добавлено через 4 минуты

    спокойной ночи, а точнее уже утра
    Последний раз редактировалось RWC; 06.06.2009 в 04:08. Причина: Добавлено

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.

    Добавлено через 2 минуты

    Цитата Сообщение от RWC Посмотреть сообщение
    спокойной ночи, а точнее уже утра
    У нас уже утро.
    Последний раз редактировалось Aleksandra; 06.06.2009 в 04:12. Причина: Добавлено
    Сердце решает кого любить... Судьба решает с кем быть...

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    46
    Файл сохранён как 090606_051730_virusinfo_files_RWC-9732CF23E6E_4a29c3aaac80d.zip
    Размер файла 791867
    MD5 13f9270d1f6f0c17bb1d168b17ab32c0

    Добавлено через 2 минуты

    Цитата Сообщение от Aleksandra Посмотреть сообщение


    У нас уже утро.
    да, у нас тоже

    ладно пойду спать, больше ничего делать не надо?)


    Зы: сорри, не в ту тему MD5 добавил...щяс исправлю.
    Последний раз редактировалось RWC; 06.06.2009 в 04:29. Причина: Добавлено

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Цитата Сообщение от RWC Посмотреть сообщение
    Файл сохранён как 090606_051730_virusinfo_files_RWC-9732CF23E6E_4a29c3aaac80d.zip
    Размер файла 791867
    MD5 13f9270d1f6f0c17bb1d168b17ab32c0
    Ответ http://virusinfo.info/showpost.php?p...postcount=1397
    Сердце решает кого любить... Судьба решает с кем быть...

  • Уважаемый(ая) RWC, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Опасность "левых" сборок Windows
      От Словен в разделе Microsoft Windows
      Ответов: 6
      Последнее сообщение: 24.04.2012, 16:56
    2. Куча "левых" процессов
      От mafioza в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.09.2010, 11:19
    3. Появление "левых" маршрутов
      От Mika_F1 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 26.08.2010, 16:53
    4. Много "левых" служб
      От GRomaN в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.06.2010, 18:29
    5. Ответов: 2
      Последнее сообщение: 03.07.2009, 13:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01499 seconds with 17 queries