Показано с 1 по 19 из 19.

pornohub.com (заявка № 80096)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42

    Thumbs up pornohub.com

    Вымогательский баннер, требующий отправить смс и рекламирующий сайт pornohub.com не позволяет работать с окнами. Мышью удается только установить курсор в поле для ввода разблокировочного кода на этом баннере, а из клавишь работает нормально только со значком "Windows". Вобщем запустить нужные программы пока не удалось.

    В безопасном режиме тоже этот баннер закрывает собой вообще весь рабочий стол и ничего не видно.

    На машине стоит Windows XP с антивирусом Avira.

    При выключении компьютера этот баннер пропадает в первую очередь.

    Могу прислать фото этого баннера.

    Что можно предпринять, чтобы запустить программы, требуемые правилами?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,564
    Вес репутации
    3022
    1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
    2. Пуск - Выполнить - erdregedit
    3. Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs
    Содержимое этого параметра напишите в своем сообщении
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Цитата Сообщение от thyrex Посмотреть сообщение
    запишите на болванку и загрузитесь с созданного диска
    Скачал, записал на болванку, но вот проблема - у меня DVD-Rom последнее время стал глючить: CD напрочь отказывался читать, а DVD по настроению. Вобщем, с привода не получилось загрузиться.

    Вопрос - возможно ли это сделать с USB-флешки или внешнего HDD (файловая система FAT32)?

    В биосе можно выбрать для первичной загрузки USB-HDD или USB-CD ROM. Я пробовал указать USB-HDD и присоединял одновременно флешку с образом и внешний HDD. Индикатор активности на HDD моргает, но ничего не запускается Файл образа положил в корень (на диске у меня еще много всяких данных хранится), но файл .iso только один.

    Попробую завтра еще взять на прокат внешний USB-CD Rom, может с него болванка запустится?

  5. #4
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Цитата Сообщение от thyrex Посмотреть сообщение
    1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
    Удалось-таки запустить записанную болванку, но...
    Система с нее не запустилась. Сначала грузится какой-то текст на черном экране (есть несколько фото, если потребуется), потом все останавливается на этом:

    Последняя строка в тексте выглядит:
    [DR-DOS] A:\>
    и в конце нее мигает курсор, т.е. можно вводить команды, но я не знаю, какие именно и что это даст (в дос-е никогда не работал).

    Вместо ERD Commander попробовал еще LiveCD с сайта Доктор Веб, тот же черный экран с командной строкой

    Подскажите, пожалуйста, что можно еще сделать?

    Завтра мне обещали дать переходник, с которого можно будет подцепить жесткий диск с зараженного компьютера через USB к моему ноутбуку - что в этом случае можно будет сделать?

    Заранее благодарю за ответы.

    На всякий случай уточню: XP у меня стоит SP2

    Добавлено через 23 минуты

    Дополнение:

    Мой случай, как в этой теме: http://virusinfo.info/showthread.php?t=80266 - тот же короткий номер 3381 (красный баннер с тремя картинками),

    но коды разблокировки, которые по телефону дает мне поставщик смс-услуг почему-то не срабатывают. Правда, прежде чем позвонить поставщику услуг, я пытался вводить коды, размещенные на сайте "Касперского". Когда я ввожу код разблокировки и жму кнопку "отключить", то никаких видимых изменений не происходит. Хотя однажды, когда я выложенные на "Касперском" коды вводил, картинка баннера задрожала так мелко и это продолжалось довольно долго, пока я компьютер не перезагрузил.

    Не знаю поможет ли эта информация чем-нибудь, но уж очень хочется побороть эту заразу, а то компьютером уже несколько дней пользоваться не могу и информация на нем важная для меня есть - удалять ее нельзя.
    Последний раз редактировалось Алек; 06.06.2010 в 03:45. Причина: Добавлено

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,564
    Вес репутации
    3022
    Странный образ ERD Commander. Процесс загрузки должен быть похож на загрузку обычной системы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Цитата Сообщение от thyrex Посмотреть сообщение
    Странный образ ERD Commander. Процесс загрузки должен быть похож на загрузку обычной системы
    Честно признатся, образ приходится делать впервые. Скачал файл .iso, распаковал его, в Nero Burning ROM выбрал DVD > DVD-ROM (Boot), бросил в корень распакованные файлы, записал болванку.
    Знаю, что должно загрузиться как обычная система, но у меня указанный выше результат получился и с ERD Commander и с LiveCD от Доктора Веба .

    Мне еще подсказали вариант загрузки с флешки через Windows XP Portable. У меня получилось!

    Через него можно действовать?
    Команда regedit в нем не работает, но все содержимое дисков доступно.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    В Нероне надо было выбрать "Записать образ". Без распаковки.

  9. #8
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Цитата Сообщение от thyrex Посмотреть сообщение
    1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
    2. Пуск - Выполнить - erdregedit
    3. Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs
    Содержимое этого параметра напишите в своем сообщении
    Получилось! Спасибо pig!

    Напротив AppInit_DLLs в колонке Type написано REG_SZ, в колонке Data пусто.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,564
    Вес репутации
    3022
    Тогда проверьте содержимое параметра userinit по такой инструкции http://virusinfo.info/showthread.php?t=51777
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Цитата Сообщение от thyrex Посмотреть сообщение
    Тогда проверьте содержимое параметра userinit по такой инструкции http://virusinfo.info/showthread.php?t=51777
    в папке C:\windows\system32 вижу только userinit без расширения .exe

    открываю в ERD Commander указанный в инструкции раздел, вижу там два файла с именем software без расширения

    первый при откытии выглядит так:



    второй при открытии говорит, что процесс не может получить доступа, т.к. файл занят другим процессом

    далее в инструкции сказано: "4. Введите имя для раздела, который вы загрузили, например, MyHive." - честно говоря, я не понял, где вводить имя раздела?

    по пятому пункту инструкции параметр Userinit такой C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\userinit.exe (дважды через запятую)

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,564
    Вес репутации
    3022
    Цитата Сообщение от Алек Посмотреть сообщение
    по пятому пункту инструкции параметр Userinit такой C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\userinit.exe (дважды через запятую)
    Оставьте такой C:\WINDOWS\system32\userinit.exe,
    Все буквы должны быть английскими

    Перезагрузитесь в нормальном режиме. Баннер пропал?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Ну наконец-то!!!
    Наконец-то я могу нормально работать с компьютером. Баннер пропал. При загрузке в нормальном режиме Avira сразу же отловил трояна:
    В файле 'C:\Documents and Settings\Alex\Главное меню\Программы\Автозагрузка\siszpe32.exe'
    был обнаружен вирус или вредоносная программа 'TR/Dldr.Bredolab.AA.123' [trojan].
    Выполняемое действие: Удалить файл
    Далее перегрузился в безопасный режим и CureIt прибил трояна Trojan.Packed.20343 с именем файла usrinit.exe по адресу C:\WINDOWS\system32 и ~TM16.tmp, ~TM42.tmp по адресу C:\WINDOWS\temp

    Скачал заново AVZ, но при попытке обновить базы получаю такое сообщение:
    Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с http://www.z-oleg.com/secur/avz_up/ [21, 00002EFD]
    Обновил базы вручную.

    Сейчас буду делать логи. Оказывается, у меня было отключено восстановление системы! Несколько месяцев назад запускал AVZ, отключил, а включить потом забыл.

    Присоединяю полученные логи
    Последний раз редактировалось Алек; 08.06.2010 в 04:32.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,564
    Вес репутации
    3022
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Вот отчет Malwarebytes Antimalware:



  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,564
    Вес репутации
    3022
    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    Зараженные папки:
    C:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> No action taken.
    C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
    C:\Documents and Settings\Alex\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
    C:\Documents and Settings\Alex\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
    C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Прилагаю лог после удаления указанных файлов:

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,564
    Вес репутации
    3022
    Порядок

    Установите SP3 (может потребоваться активация) + все новые патчи
    Обновите JavaRE
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    42
    Цитата Сообщение от thyrex Посмотреть сообщение
    Порядок

    Установите SP3 (может потребоваться активация) + все новые патчи
    Обновите JavaRE
    Спасибо!

    JavaRE обновил, а SP3 пожалуй воздержусь, т.к. слышал, что иногда после его установки возникают проблемы. У меня система уже около пяти лет стоит - ниразу не переустанавливал за это время и не восстанавливал и опасаюсь, что установка SP3 может нарушить стабильность системы на моем компе.

    А вообще насколько критично обновление с SP2 на SP3?

    Еще раз спасибо за помощь!

    P.S. Восстановление системы можно включить?

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,564
    Вес репутации
    3022
    Цитата Сообщение от Алек Посмотреть сообщение
    А вообще насколько критично обновление с SP2 на SP3?
    Чем больше дыр в системе, тем легче в нее проникнуть. Решать Вам.
    Восстановление можете включить
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Алек, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Рекламный модуль pornohub
      От Rain181 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.06.2010, 05:10
    2. Баннер pornohub
      От gnv в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.06.2010, 17:31
    3. pornohub
      От Лусли в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 06.06.2010, 16:33
    4. pornohub.com
      От Pioman в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 04.06.2010, 20:33
    5. pornohub.com (заявка №19256)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 18.05.2010, 14:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00498 seconds with 16 queries