06.01.2010, 20:49 | #1 (ссылка) |
Новичок
Регистрация: 06.01.2010
Сообщений: 11
Репутация: 0
|
Порно Баннер
Сегодня в поисковике искал информацию,открыл сайт из результатов поиска.Никаких действий на нем невыполнял и просидел около 1 минуты и ничего не качал как вдруг открылось окно командной строки Windows,что там было написано я посмотреть не успел.Подумав что это загружается вирус,я почему то решил перезагрузить компьютер а когда он перезагрузился то я увидел на рабочем столе окно на пол экрана с порно,на котором как всегда предлагается отправить смс для удаления окна.До этого я встречался с таким видом вируса и тогда удалить его не составило ни каких проблем.Но с тем что я словил сейчас все было намного сложнее.Вирус блокировал открытие диспетчера задач и вообще что то делать было неудобно в связи с большим размером баннера и с тем что он всегда находился поверх всех окон.Удаление файлов\папок также было заблочено но однако можно было просто перенести мышкой файл в корзину и потом ее очистить.Однако не все так просто.Когда я уже нашел вирусный файл называемый plugin.exe его перенести я не мог.Не перемещался он.Тут я решил переименовать его,заодно изменив формат файла.И Ура,перезагрузив компьютер я был обрадован тем что окно баннера больше не открывалось.Мне повезло что я еще догадался что вирусом является имено этот файл,и на удивление nod32 не видел в нем вируса.
Короче говоря убил я много времени чтобы уничтожить этот вирус,с которым действительно пришлось помучиться по сравнению с его предшественником. Что еще нужно сделать,чтобы полностью убить вирус,какие папки удалить и тд? Как вирус проник в компьютер? Просьба ознакомиться с логом HiJackThis |
06.01.2010, 20:58 | #2 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Hardcore,
На файлообменник www.webfile.ru или www.exfile.ru выложите пожалуста. Еще выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip |
06.01.2010, 23:20 | #3 (ссылка) | ||
Новичок
Регистрация: 06.01.2010
Сообщений: 11
Репутация: 0
|
Цитата:
Цитата:
|
||
07.01.2010, 00:24 | #4 (ссылка) |
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
Hardcore, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll (file missing) R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - D:\Программы\Agent\Mra\dll\newmrasearch.dll (file missing) R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing) O2 - BHO: hwllibP - {3322083F-5C61-4A51-A49E-F0D6EB9AD555} - C:\Documents and Settings\All Users\Application Data\hwllib.dll (file missing) O2 - BHO: ayrlibP - {6DE19D73-DC44-423D-96CB-718FF7E5CFFB} - C:\Documents and Settings\All Users\Application Data\ayrlib.dll (file missing) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing) O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing) O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user') Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll'); DeleteFile('C:\Documents and Settings\All Users\Application Data\hwllib.dll'); DeleteFile('C:\Documents and Settings\All Users\Application Data\ayrlib.dll'); DeleteFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll'); DeleteFile('-.exe'); DelBHO('{6DE19D73-DC44-423D-96CB-718FF7E5CFFB}'); DelBHO('{3322083F-5C61-4A51-A49E-F0D6EB9AD555}'); DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}'); DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls','Nero BurnRights'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(1 ); RebootWindows(true); end. 1. Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end. 2.Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог хайджека |
07.01.2010, 01:57 | #5 (ссылка) |
Новичок
Регистрация: 06.01.2010
Сообщений: 11
Репутация: 0
|
romul781 спасибо огромное.Все выполнил как вы сказали
Вот логи программ: Скачать virusinfo_syscheck.zip с WebFile.RU Скачать hijackthis.log с WebFile.RU |
07.01.2010, 02:15 | #6 (ссылка) |
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
Hardcore, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк
Код:
O2 - BHO: hwllibP - {3322083F-5C61-4A51-A49E-F0D6EB9AD555} - C:\Documents and Settings\All Users\Application Data\hwllib.dll (file missing) O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll (file missing) O2 - BHO: ayrlibP - {6DE19D73-DC44-423D-96CB-718FF7E5CFFB} - C:\Documents and Settings\All Users\Application Data\ayrlib.dll (file missing) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing) O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing) O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe" O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6.5\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6.5\ICQ.exe (file missing) Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Program Files\plugin.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Порно-баннер Help | mixa1ich | Безопасность | 20 | 15.01.2011 01:23 |
Порно баннер | Elena. | Безопасность | 11 | 02.10.2010 13:03 |
Порно баннер! Помогите! | Vad2009 | Безопасность | 21 | 04.07.2010 23:04 |
порно баннер | Sikomor | Безопасность | 7 | 30.06.2010 23:05 |
Порно баннер | efremovxp | Безопасность | 20 | 28.06.2010 13:04 |
Порно-баннер | Volcha | Безопасность | 4 | 04.06.2010 18:06 |
Порно-баннер | Хабанера | Безопасность | 3 | 04.06.2010 11:23 |
Порно баннер | Alex_13 | Безопасность | 4 | 22.05.2010 23:13 |
И снова порно-баннер. | atom1ck | Безопасность | 4 | 23.04.2010 22:55 |
Решено: Порно-баннер | Noobi | Безопасность | 4 | 18.10.2009 18:45 |
порно баннер | zafer | Безопасность | 14 | 10.08.2009 12:39 |
Порно-баннер | Настя | Безопасность | 5 | 12.03.2009 22:29 |