-
Junior Member
- Вес репутации
- 52
Баннер доступа на порносайт
Здравствуйте!
Проблема такая... при старте системы появляеться ,баннер с порнокартинками следующего содержания:
"Вы установили баннер для доступа на наш сайт.
Срок действия баннера 30 дней.
Если вы хотите прекратить действия баннера раньше установленного срока,
то отправьте смс по указанному номеру и введите код удаления...
отправить смс с текстом 733167 на номер 9800"
- диспетчер задач на запускаеться...
- в автозапуске видно эту хрень, но при попытке удалить виснет программа (плагин для Total Commander'a - Starter v5.6.2.8 )...
- в автозапуске ссылка на фаил rundll.exe в c:\windows\sistem32... я его грохнул загрузившись через другую ОСь... не помогло... файла этого нет, но баннер висит на том же месте...
- браузер не запускается...
- Проверил CureIt в безопасном режиме нашёл один фаил H@tKeysH@@k.dll в c:\windows\sistem32
- AVZ при открытии списка скриптов виснет... при обновлении баз тоже...
- Смог получить только лог HiJack'а
- Антивирусник - Avira Premium Security Suite... обновляеться каждые два часа...
и еще беспокоят скрытые файлы khv и khw без расширения и размером 0 баит расположенные в корне всех 3-х разделов HD... что это???
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вот ваш баннер:
Код:
O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
Пофиксите, потом сделайте все логи по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Запустил AVZ и нажал выполнить вот что написал в протокол...
папка log не появилась...
Ещё информация "бяка" не дает нормально выключать комп... презагружаюсь "волшебной" кнопкой reset...
по описанию похоже гадость из соседней темы...
СМС-вымогатель (розовый баннер) пользователя ShoSho...
-
Сообщение от
pistachio
Запустил AVZ
Попробуйте: Сервис - Диспетчер процессов, грохнуть plugin.exe.
Кстати, базы AVZ обновить надо!
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
Удалил Plugin.exe из под другой ОС... помогло... баннера нет... всё работает...
Вот только rundll32.exe я зря бахнул (он системный) пришлось восстанавливать его из дистрибутива винды...
логи прицепил...
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
QuarantineFile('C:\Documents and Settings\ALEXEY\Application Data\AdSubscribe\AdSubscribe.dll','');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('C:\DOCUME~1\ALEXEY\APPLIC~1\FieryAds\FieryAds.dll','');
QuarantineFile('c:\windows\system32\netprotocol.dll','');
DeleteFile('c:\windows\system32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
DeleteFile('C:\DOCUME~1\ALEXEY\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\Documents and Settings\ALEXEY\Application Data\AdSubscribe\AdSubscribe.dll');
DeleteFileMask('C:\DOCUME~1\ALEXEY\APPLIC~1\FieryAds', '*.*', true);
DeleteDirectory('C:\DOCUME~1\ALEXEY\APPLIC~1\FieryAds');
DeleteFileMask('C:\Documents and Settings\ALEXEY\Application Data\AdSubscribe', '*.*', true);
DeleteDirectory('C:\Documents and Settings\ALEXEY\Application Data\AdSubscribe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Карантин выслал...
Логи прицепил...
p.s. про khw и khv что скажете???
-
Пофиксите в HiJack
Код:
O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
Больше плохого не видно
Сообщение от
pistachio
про khw и khv что скажете???
А они у Вас где появляются?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
А они у Вас где появляются?
В корне всех разделов диска (у меня их три) файлы без расширения... размером 0 байт...
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall ,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe
как на счет вот этих строчек zzzz2 явное имя чегото плохого...
я писал выше под таким именем баннер сидел в автозагрузке, хотя может это от другого вира...
я ещё картинку обратно прицепил исправленную...
Последний раз редактировалось pistachio; 06.01.2010 в 22:30.
-
Появляются нулевого размера файлы даже после их удаления?
Приведенные Вами строки, по-моему, относятся к настройкам IE при первом запуске
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
thyrex
Появляются нулевого размера файлы даже после их удаления?
Приведенные Вами строки, по-моему, относятся к настройкам IE при первом запуске
удалил эти файлы... перезагрузился... вроде не появились...
а на счет строк ... у меня стоитс сборка винды (естествено не офф.) похоже это от туда... что-то типа что должно появиться при первом запуске винды... FirstLogonSetting... причем запускаеться один раз...
-
Рекомендую отключить т.н. административный доступ к дискам:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RebootWindows(true);
end.
а также установить пароль на учетку Администратора.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
Bratez
Рекомендую отключить т.н. административный доступ к дискам:
а также установить пароль на учетку Администратора.
Как правильно настроить ПК... точнее учётки пользователей...
Сейчас два пользователя ("я" и "она") оба админа... знаю что неправильно...
- сделать три 1-"я", 2-"она" и 3-"админ"(с паролем)
- или две 1-"я" (админ с паролем) и 2-"она"...
склоняюсь к первому варианту, но как будут работать программы установленные ранее "мной" (или "ей")... если статус учётки сменить на ограниченную... можно ли их будет удалять и изменять из "админа"...
???
Последний раз редактировалось pistachio; 07.01.2010 в 09:36.
-
Я имел ввиду встроенную учетную запись Администратор.
На ваши рабочие учетки тоже пароли поставьте.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\netprotocol.dll - Trojan-Downloader.Win32.Piker.bdt ( DrWEB: Trojan.Packed.19647, BitDefender: Trojan.Generic.2990244, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Malware-gen )
-