-
Junior Member
- Вес репутации
- 54
internet explorer/Svcnost.exe реклама в браузере
При заходе вконтакт появилось окошко с требованием отправить смс
После перезапуска браузера сначала стали появляться коды вроде
Код:
var search = "продажа обслуживание оборудование изготовление пенобетон"; var data = [{ "url": "http://rupoisk.ru/xml/counter.php?link=YToxMjp7aTowO3M6Mjg5OiJodHRwOi8vY2xpY2swMi5iZWd1bi5ydS9jbGljay5qc3A/dXJsPVpXMlEyNGVEZ29OYkVwSFJjUldjTnAyaDNIVG4tT3I0Qm8xeVczdFM2N0JReDB6cnktc1RqejhLVk8xemU0UTJNT2VxcWhWenBDNGZ4NldIQVpQLVhXMWs3S0trajV5RlhNR0kyQ1dJR0dnM2taY1BpNk9XMkhPdkxyc1pDR3pHd296clZvRkh5U3hHRVZqLU5DWGY2QWgtRFpkMzNnSnQ1b3pYeDVnZElGb2ZYTFYzQTIwNWF5NjdsWjZaMjN4ZVlZWXF0ak5TbzdTT2JNNS14Unc2YWkwV2gxdkFDMEJYYU0yaEgqandPR0UtOThqWUlIV0RkdWN3RWZBIjtpOjE7ZDowLjA3MTQyOTk5OTk5OTk5OTk4OTA1NzY0MTg2OTI5NDQ1NzEzNzU4NDY4NjI3OTI5Njg3NTtpOjI7aTozNTE0O2k6MztzOjU2OiLv8O7k4ObgIO7h8evz5uji4O3o5SDu4e7w8+Tu4uDt6OUg6Ofj7vLu4uvl7ejlIO/l7e7h5fLu7SI7aTo0O2k6MzkzMTtpOjU7czoxMjoiMTg4LjExNC4zNS41IjtpOjY7aToyNjQ3NzAxO2k6NztzOjEwOiIyMDA5LTExLTI4IjtpOjg7czo5MDoiaHR0cDovL3d3dy5uLXVyZW5nb3kucnUvc2VhcmNoLz9xPe/w7uTg5uAr7uHx6/Pm6OLg7ejlK+7h7vDz5O7i4O3o5Svo5+Pu8u7i6+Xt6OUr7+Xt7uHl8u7tIjtpOjk7aTo1MTtpOjEwO2k6MjU1O2k6MTE7czo2OiIyMTUwOTgiO30=", "title": "Оборудование для пенобетона.", "desc": "Мобил. минизаводы для пенобетона! Опыт 9 лет! Спеццена!", "banner_url": "/3/4/151073134", "domain": "www.concret.ru - Ростов" },{ "url": "http://rupoisk.ru/xml/counter.php?link=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", "title": "Продаешь оборудование?", "desc": "Тысячи объявлений о покупке на сайте Avito. Спешите!", "banner_url": "/8/3/154492583", "domain": "www.avito.ru - Ростов" }];
во вкладках браузера, потом автоматом стали открываться вкладки с рекламой и поисковые запросы на rupoisk.ru (например http://rupoisk.ru/xml/?divis=3541&su....php&version=3)
Проверил CureiT
Svcnost определяется как
http://www.virustotal.com/ru/analisi...b68-1259439465
Есть ещё подозрение на Src=C:\windows\system32\winagent.exe
http://www.virustotal.com/ru/analisi...78a-1259439844
Не получается устранить
Код:
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
После перезагрузки снова эти же проблемы.
Логи:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 54
internet explorer/Svcnost.exe удалён. теперь вход вконтакт свободный.
только коды и всякая реклама в окнах браузера
Svcnost.exe тут
Файл сохранён как 091128_233704_vir_4b1189f095aed.zip
Размер файла 15205
MD5 5afd866fe0ec2053d457448f8c860c70
Добавлено через 2 минуты
Src=C:\windows\system32\winagent.exe
Файл сохранён как 091128_233917_2009-11-28_4b118a75bc32b.zip
Размер файла 51719
MD5 f5a04e03267ca16e6a091f71695c7cc7
Последний раз редактировалось eas; 28.11.2009 в 23:39.
Причина: Добавлено
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\windows\system32\winagent.exe','');
DeleteFile('C:\windows\system32\winagent.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Internet Agent');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин. Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 54
Карантин
Файл сохранён как 091128_234752_quarantine_4b118c7895122.zip
Размер файла 51892
MD5 0363095b86e661a68a2df107367e86ab
Логи чуть погодя... Коды в браузере и страницы с рекламой пропали
-
Junior Member
- Вес репутации
- 54
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\Program Files\Internet Explorer\smss.exe','');
DeleteFile('c:\Program Files\Internet Explorer\smss.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','act0');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин
Установите SP3, IE8 + все последние обновления
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 54
-
Junior Member
- Вес репутации
- 54
Карантин
Файл сохранён как 091129_183628_quarantine_4b1294fc46c7d.zip
Размер файла 12225 MD5 1e897b2bb462d5104a6d1bfeb5253626
-
В логах чисто.
Сообщение от
Venus Doom
Установите SP3, IE8 + все последние обновления
А это для Вас.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\internet explorer\smss.exe - Trojan.Win32.Diamin.aor ( DrWEB: Trojan.Siggen.30515 )
- c:\program files\internet explorer\svcnost.exe - Trojan-Downloader.Win32.Agent.cwfw ( DrWEB: Trojan.DownLoad1.13732 )
- c:\windows\system32\winagent.exe - Backdoor.Win32.Buterat.as ( DrWEB: Trojan.Click.31902, AVAST4: Win32:Rootkit-gen [Rtk] )
-