Показано с 1 по 16 из 16.

Баннер доступа на порносайт (заявка № 66121)

  1. #1
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    52

    Thumbs up Баннер доступа на порносайт

    Здравствуйте!

    Проблема такая... при старте системы появляеться ,баннер с порнокартинками следующего содержания:
    "Вы установили баннер для доступа на наш сайт.
    Срок действия баннера 30 дней.
    Если вы хотите прекратить действия баннера раньше установленного срока,
    то отправьте смс по указанному номеру и введите код удаления...
    отправить смс с текстом 733167 на номер 9800"

    - диспетчер задач на запускаеться...
    - в автозапуске видно эту хрень, но при попытке удалить виснет программа (плагин для Total Commander'a - Starter v5.6.2.8 )...
    - в автозапуске ссылка на фаил rundll.exe в c:\windows\sistem32... я его грохнул загрузившись через другую ОСь... не помогло... файла этого нет, но баннер висит на том же месте...
    - браузер не запускается...
    - Проверил CureIt в безопасном режиме нашёл один фаил H@tKeysH@@k.dll в c:\windows\sistem32
    - AVZ при открытии списка скриптов виснет... при обновлении баз тоже...
    - Смог получить только лог HiJack'а
    - Антивирусник - Avira Premium Security Suite... обновляеться каждые два часа...

    и еще беспокоят скрытые файлы khv и khw без расширения и размером 0 баит расположенные в корне всех 3-х разделов HD... что это???

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вот ваш баннер:
    Код:
    O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
    Пофиксите, потом сделайте все логи по правилам.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    52
    Запустил AVZ и нажал выполнить вот что написал в протокол...
    папка log не появилась...

    Ещё информация "бяка" не дает нормально выключать комп... презагружаюсь "волшебной" кнопкой reset...
    по описанию похоже гадость из соседней темы...
    СМС-вымогатель (розовый баннер) пользователя ShoSho...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от pistachio Посмотреть сообщение
    Запустил AVZ
    Попробуйте: Сервис - Диспетчер процессов, грохнуть plugin.exe.

    Кстати, базы AVZ обновить надо!
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    52
    Пофиксил plugin.exe не помогло... может потомучто перезагружался reset'ом...

    Может еще необходимо пофиксить см. рисунок(еле еле через word сделал скрин... пайнт тоже виснет)... т.к. именно под таким именем в автозагрузке висит сия бяка...
    при обновлении баз, виснет AVZ... при просмотре из другой ОС(win 7) Plugin.exe вообще не видно...
    извеняюсь увидел... пробую загрузить XP...

    Извените что в первый раз не всё закрасил... так я думаю пойдет...
    Последний раз редактировалось pistachio; 06.01.2010 в 22:14. Причина: удалено вложение недетского содержания

  7. #6
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    52
    Удалил Plugin.exe из под другой ОС... помогло... баннера нет... всё работает...
    Вот только rundll32.exe я зря бахнул (он системный) пришлось восстанавливать его из дистрибутива винды...
    логи прицепил...

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
     QuarantineFile('C:\Documents and Settings\ALEXEY\Application Data\AdSubscribe\AdSubscribe.dll','');
     DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
     QuarantineFile('C:\DOCUME~1\ALEXEY\APPLIC~1\FieryAds\FieryAds.dll','');
     QuarantineFile('c:\windows\system32\netprotocol.dll','');
     DeleteFile('c:\windows\system32\netprotocol.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
     DeleteFile('C:\DOCUME~1\ALEXEY\APPLIC~1\FieryAds\FieryAds.dll');
     DeleteFile('C:\Documents and Settings\ALEXEY\Application Data\AdSubscribe\AdSubscribe.dll');
    DeleteFileMask('C:\DOCUME~1\ALEXEY\APPLIC~1\FieryAds', '*.*', true);
    DeleteDirectory('C:\DOCUME~1\ALEXEY\APPLIC~1\FieryAds');
    DeleteFileMask('C:\Documents and Settings\ALEXEY\Application Data\AdSubscribe', '*.*', true);
    DeleteDirectory('C:\Documents and Settings\ALEXEY\Application Data\AdSubscribe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    52
    Карантин выслал...
    Логи прицепил...

    p.s. про khw и khv что скажете???

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Пофиксите в HiJack
    Код:
    O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
    Больше плохого не видно

    Цитата Сообщение от pistachio Посмотреть сообщение
    про khw и khv что скажете???
    А они у Вас где появляются?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    52
    А они у Вас где появляются?
    В корне всех разделов диска (у меня их три) файлы без расширения... размером 0 байт...

    Больше плохого не видно
    O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall ,0 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe
    как на счет вот этих строчек zzzz2 явное имя чегото плохого...
    я писал выше под таким именем баннер сидел в автозагрузке, хотя может это от другого вира...
    я ещё картинку обратно прицепил исправленную...
    Последний раз редактировалось pistachio; 06.01.2010 в 22:30.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Появляются нулевого размера файлы даже после их удаления?

    Приведенные Вами строки, по-моему, относятся к настройкам IE при первом запуске
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    52
    Цитата Сообщение от thyrex Посмотреть сообщение
    Появляются нулевого размера файлы даже после их удаления?

    Приведенные Вами строки, по-моему, относятся к настройкам IE при первом запуске
    удалил эти файлы... перезагрузился... вроде не появились...
    а на счет строк ... у меня стоитс сборка винды (естествено не офф.) похоже это от туда... что-то типа что должно появиться при первом запуске винды... FirstLogonSetting... причем запускаеться один раз...

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Рекомендую отключить т.н. административный доступ к дискам:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RebootWindows(true);
    end.
    а также установить пароль на учетку Администратора.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    06.01.2010
    Сообщений
    12
    Вес репутации
    52
    Цитата Сообщение от Bratez Посмотреть сообщение
    Рекомендую отключить т.н. административный доступ к дискам:

    а также установить пароль на учетку Администратора.
    Как правильно настроить ПК... точнее учётки пользователей...
    Сейчас два пользователя ("я" и "она") оба админа... знаю что неправильно...
    - сделать три 1-"я", 2-"она" и 3-"админ"(с паролем)
    - или две 1-"я" (админ с паролем) и 2-"она"...
    склоняюсь к первому варианту, но как будут работать программы установленные ранее "мной" (или "ей")... если статус учётки сменить на ограниченную... можно ли их будет удалять и изменять из "админа"...
    ???
    Последний раз редактировалось pistachio; 07.01.2010 в 09:36.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Я имел ввиду встроенную учетную запись Администратор.
    На ваши рабочие учетки тоже пароли поставьте.
    I am not young enough to know everything...

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\netprotocol.dll - Trojan-Downloader.Win32.Piker.bdt ( DrWEB: Trojan.Packed.19647, BitDefender: Trojan.Generic.2990244, NOD32: Win32/TrojanClicker.Agent.NII trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) pistachio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 26.11.2010, 12:28
    2. Ответов: 1
      Последнее сообщение: 21.01.2010, 14:25
    3. появляется ссылка на порносайт
      От bagik в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 07:51
    4. Ответов: 8
      Последнее сообщение: 18.02.2009, 10:53
    5. Ответов: 7
      Последнее сообщение: 03.02.2007, 20:39

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00767 seconds with 19 queries