 |
|
|
06.01.2010, 20:49
|
#1 |
|
Новичок
Регистрация: 06.01.2010
Сообщений: 11
Репутация: 0
|
Порно Баннер
Сегодня в поисковике искал информацию,открыл сайт из результатов поиска.Никаких действий на нем невыполнял и просидел около 1 минуты и ничего не качал как вдруг открылось окно командной строки Windows,что там было написано я посмотреть не успел.Подумав что это загружается вирус,я почему то решил перезагрузить компьютер
 а когда он перезагрузился то я увидел на рабочем столе окно на пол экрана с порно,на котором как всегда предлагается отправить смс для удаления окна.До этого я встречался с таким видом вируса и тогда удалить его не составило ни каких проблем.Но с тем что я словил сейчас все было намного сложнее.Вирус блокировал открытие диспетчера задач и вообще что то делать было неудобно в связи с большим размером баннера и с тем что он всегда находился поверх всех окон.Удаление файлов\папок также было заблочено но однако можно было просто перенести мышкой файл в корзину и потом ее очистить.Однако не все так просто.Когда я уже нашел вирусный файл называемый plugin.exe его перенести я не мог.Не перемещался он.Тут я решил переименовать его,заодно изменив формат файла.И Ура,перезагрузив компьютер я был обрадован тем что окно баннера больше не открывалось.Мне повезло что я еще догадался что вирусом является имено этот файл,и на удивление nod32 не видел в нем вируса.Короче говоря убил я много времени чтобы уничтожить этот вирус,с которым действительно пришлось помучиться по сравнению с его предшественником. Что еще нужно сделать,чтобы полностью убить вирус,какие папки удалить и тд? Как вирус проник в компьютер? Просьба ознакомиться с логом HiJackThis |
|
|
06.01.2010, 20:58
|
#2 |
|
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Hardcore,
На файлообменник www.webfile.ru или www.exfile.ru выложите пожалуста. Еще выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip |
|
|
|
06.01.2010, 23:20
|
#3 | ||
|
Новичок
Регистрация: 06.01.2010
Сообщений: 11
Репутация: 0
|
Цитата:
Цитата:
|
||
|
|
|
07.01.2010, 00:24
|
#4 |
|
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
Hardcore, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll (file missing)
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - D:\Программы\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing)
O2 - BHO: hwllibP - {3322083F-5C61-4A51-A49E-F0D6EB9AD555} - C:\Documents and Settings\All Users\Application Data\hwllib.dll (file missing)
O2 - BHO: ayrlibP - {6DE19D73-DC44-423D-96CB-718FF7E5CFFB} - C:\Documents and Settings\All Users\Application Data\ayrlib.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing)
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\hwllib.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\ayrlib.dll');
DeleteFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll');
DeleteFile('-.exe');
DelBHO('{6DE19D73-DC44-423D-96CB-718FF7E5CFFB}');
DelBHO('{3322083F-5C61-4A51-A49E-F0D6EB9AD555}');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls','Nero BurnRights');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.
1. Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
2.Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог хайджека |
|
|
|
07.01.2010, 01:57
|
#5 |
|
Новичок
Регистрация: 06.01.2010
Сообщений: 11
Репутация: 0
|
romul781 спасибо огромное.Все выполнил как вы сказали
Вот логи программ: Скачать virusinfo_syscheck.zip с WebFile.RU Скачать hijackthis.log с WebFile.RU |
|
|
|
07.01.2010, 02:15
|
#6 | |
|
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
Цитата:
Код:
O2 - BHO: hwllibP - {3322083F-5C61-4A51-A49E-F0D6EB9AD555} - C:\Documents and Settings\All Users\Application Data\hwllib.dll (file missing)
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll (file missing)
O2 - BHO: ayrlibP - {6DE19D73-DC44-423D-96CB-718FF7E5CFFB} - C:\Documents and Settings\All Users\Application Data\ayrlib.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing)
O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6.5\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6.5\ICQ.exe (file missing)
Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
|
|
|
|
|
07.01.2010, 02:28
|
#7 |
|
Новичок
Регистрация: 06.01.2010
Сообщений: 11
Репутация: 0
|
|
|
|
|
07.01.2010, 03:06
|
#8 | |
|
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
Цитата:
 повторите процедуру с хайджеком из моего предыдущего поста. авз уже не нужно. и выложите новый лог хайджека. |
|
|
|
| Ads | |
|
07.01.2010, 03:10
|
#9 | |
|
Новичок
Регистрация: 06.01.2010
Сообщений: 11
Репутация: 0
|
Цитата:
|
|
|
|
|
07.01.2010, 17:37
|
#10 |
|
Новичок
Регистрация: 06.01.2010
Сообщений: 11
Репутация: 0
|
|
|
|
|
07.01.2010, 17:44
|
#11 | |
|
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
Цитата:
 удачи и с праздником! |
|
|
|
|
07.01.2010, 17:47
|
#12 | |
|
Новичок
Регистрация: 06.01.2010
Сообщений: 11
Репутация: 0
|
Цитата:
P.S. Как так вообще получилось что вирус закачался и выполнился без моего ведома? Все на форуме пишут что они что то качали и им закачался вирус.Я же ничего ни качал и не запускал. |
|
|
|
| Ads | |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Порно-баннер Help | mixa1ich | Безопасность | 20 | 15.01.2011 01:23 |
| Порно баннер | Elena. | Безопасность | 11 | 02.10.2010 13:03 |
| Порно баннер! Помогите! | Vad2009 | Безопасность | 21 | 04.07.2010 23:04 |
| порно баннер | Sikomor | Безопасность | 7 | 30.06.2010 23:05 |
| Порно баннер | efremovxp | Безопасность | 20 | 28.06.2010 13:04 |
| Порно-баннер | Volcha | Безопасность | 4 | 04.06.2010 18:06 |
| Порно-баннер | Хабанера | Безопасность | 3 | 04.06.2010 11:23 |
| Порно баннер | Alex_13 | Безопасность | 4 | 22.05.2010 23:13 |
| И снова порно-баннер. | atom1ck | Безопасность | 4 | 23.04.2010 22:55 |
| Решено: Порно-баннер | Noobi | Безопасность | 4 | 18.10.2009 18:45 |
| порно баннер | zafer | Безопасность | 14 | 10.08.2009 12:39 |
| Порно-баннер | Настя | Безопасность | 5 | 12.03.2009 22:29 |
