Порно Баннер

Hardcore · 06.01.2010, 20:49

Сегодня в поисковике искал информацию,открыл сайт из результатов поиска.Никаких действий на нем невыполнял и просидел около 1 минуты и ничего не качал как вдруг открылось окно командной строки Windows,что там было написано я посмотреть не успел.Подумав что это загружается вирус,я почему то решил перезагрузить компьютер

а когда он перезагрузился то я увидел на рабочем столе окно на пол экрана с порно,на котором как всегда предлагается отправить смс для удаления окна.До этого я встречался с таким видом вируса и тогда удалить его не составило ни каких проблем.Но с тем что я словил сейчас все было намного сложнее.Вирус блокировал открытие диспетчера задач и вообще что то делать было неудобно в связи с большим размером баннера и с тем что он всегда находился поверх всех окон.Удаление файлов\папок также было заблочено но однако можно было просто перенести мышкой файл в корзину и потом ее очистить.Однако не все так просто.Когда я уже нашел вирусный файл называемый plugin.exe его перенести я не мог.Не перемещался он.Тут я решил переименовать его,заодно изменив формат файла.И Ура,перезагрузив компьютер я был обрадован тем что окно баннера больше не открывалось.Мне повезло что я еще догадался что вирусом является имено этот файл,и на удивление nod32 не видел в нем вируса.
Короче говоря убил я много времени чтобы уничтожить этот вирус,с которым действительно пришлось помучиться по сравнению с его предшественником.

Что еще нужно сделать,чтобы полностью убить вирус,какие папки удалить и тд?
Как вирус проник в компьютер?

Просьба ознакомиться с логом HiJackThis

01pump · 06.01.2010, 20:58

Hardcore,

На файлообменник www.webfile.ru или www.exfile.ru выложите пожалуста.
Еще выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

Hardcore · 06.01.2010, 23:20

Цитата:

Сообщение от 01pump

Hardcore,

На файлообменник www.webfile.ru или www.exfile.ru выложите пожалуста.
[/B]

HiJackThis

Цитата:

Сообщение от 01pump

Hardcore,
Еще выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

Скачать virusinfo_syscheck.zip с WebFile.RU

romul781 · 07.01.2010, 00:24

Hardcore, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк

Код:

  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll (file missing)
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - D:\Программы\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing)
O2 - BHO: hwllibP - {3322083F-5C61-4A51-A49E-F0D6EB9AD555} - C:\Documents and Settings\All Users\Application Data\hwllib.dll (file missing)
O2 - BHO: ayrlibP - {6DE19D73-DC44-423D-96CB-718FF7E5CFFB} - C:\Documents and Settings\All Users\Application Data\ayrlib.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing)
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

и нажать кнопку "Fix сhecked".

Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\hwllib.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\ayrlib.dll');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll');
 DeleteFile('-.exe');
 DelBHO('{6DE19D73-DC44-423D-96CB-718FF7E5CFFB}');
 DelBHO('{3322083F-5C61-4A51-A49E-F0D6EB9AD555}');
 DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
 DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls','Nero BurnRights');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(1 );
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки

1. Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! после перезагрузки

2.Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог хайджека

Hardcore · 07.01.2010, 01:57

romul781 спасибо огромное.Все выполнил как вы сказали
Вот логи программ:
Скачать virusinfo_syscheck.zip с WebFile.RU
Скачать hijackthis.log с WebFile.RU

romul781 · 07.01.2010, 02:15

Цитата:

Сообщение от Hardcore

Скачать hijackthis.log с WebFile.RU

Hardcore, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк

Код:

 
O2 - BHO: hwllibP - {3322083F-5C61-4A51-A49E-F0D6EB9AD555} - C:\Documents and Settings\All Users\Application Data\hwllib.dll (file missing)
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\Admin\APPLIC~1\FieryAds\FieryAds.dll (file missing)
O2 - BHO: ayrlibP - {6DE19D73-DC44-423D-96CB-718FF7E5CFFB} - C:\Documents and Settings\All Users\Application Data\ayrlib.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Мусор всякий\Sputnik\MailRuSputnik.dll (file missing)
O4 - HKLM\..\Run: [plugin] "C:\Program Files\plugin.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6.5\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6.5\ICQ.exe (file missing)

и нажать кнопку "Fix сhecked".

Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\Program Files\plugin.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог хайджека

Hardcore · 07.01.2010, 02:28

Скачать hijackthis.log с WebFile.RU
Скачать virusinfo_syscheck.zip с WebFile.RU

romul781 · 07.01.2010, 03:06

Цитата:

Сообщение от Hardcore

Скачать hijackthis.log с WebFile.RU

Hardcore, Вы вообще фикс выполняли? или это старый лог. все на месте

повторите процедуру с хайджеком из моего предыдущего поста. авз уже не нужно.
и выложите новый лог хайджека.

Hardcore · 07.01.2010, 03:10

Цитата:

Сообщение от romul781

Hardcore, Вы вообще фикс выполняли? или это старый лог. все на месте
повторите процедуру с хайджеком из моего предыдущего поста. авз уже не нужно.
и выложите новый лог хайджека.

Да выполнял.Видимо лог не заменяется на старый.Сейчас удалю старый лог,сделаю заново

Hardcore · 07.01.2010, 17:37

Скачать hijackthis.log с WebFile.RU

romul781 · 07.01.2010, 17:44

Цитата:

Сообщение от Hardcore

Скачать hijackthis.log с WebFile.RU

Hardcore? порядок

удачи и с праздником!

Hardcore · 07.01.2010, 17:47

Цитата:

Сообщение от romul781

Hardcore? порядок

удачи и с праздником!

Спасибо!И вас с праздником!

P.S. Как так вообще получилось что вирус закачался и выполнился без моего ведома?

Все на форуме пишут что они что то качали и им закачался вирус.Я же ничего ни качал и не запускал.

06.01.2010, 20:49	#1 (ссылка)
Hardcore Новичок Регистрация: 06.01.2010 Сообщений: 11 Репутация: 0	Порно Баннер Сегодня в поисковике искал информацию,открыл сайт из результатов поиска.Никаких действий на нем невыполнял и просидел около 1 минуты и ничего не качал как вдруг открылось окно командной строки Windows,что там было написано я посмотреть не успел.Подумав что это загружается вирус,я почему то решил перезагрузить компьютер а когда он перезагрузился то я увидел на рабочем столе окно на пол экрана с порно,на котором как всегда предлагается отправить смс для удаления окна.До этого я встречался с таким видом вируса и тогда удалить его не составило ни каких проблем.Но с тем что я словил сейчас все было намного сложнее.Вирус блокировал открытие диспетчера задач и вообще что то делать было неудобно в связи с большим размером баннера и с тем что он всегда находился поверх всех окон.Удаление файлов\папок также было заблочено но однако можно было просто перенести мышкой файл в корзину и потом ее очистить.Однако не все так просто.Когда я уже нашел вирусный файл называемый plugin.exe его перенести я не мог.Не перемещался он.Тут я решил переименовать его,заодно изменив формат файла.И Ура,перезагрузив компьютер я был обрадован тем что окно баннера больше не открывалось.Мне повезло что я еще догадался что вирусом является имено этот файл,и на удивление nod32 не видел в нем вируса. Короче говоря убил я много времени чтобы уничтожить этот вирус,с которым действительно пришлось помучиться по сравнению с его предшественником. Что еще нужно сделать,чтобы полностью убить вирус,какие папки удалить и тд? Как вирус проник в компьютер? Просьба ознакомиться с логом HiJackThis

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Порно-баннер Help	mixa1ich	Безопасность	20	15.01.2011 01:23
Порно баннер	Elena.	Безопасность	11	02.10.2010 13:03
Порно баннер! Помогите!	Vad2009	Безопасность	21	04.07.2010 23:04
порно баннер	Sikomor	Безопасность	7	30.06.2010 23:05
Порно баннер	efremovxp	Безопасность	20	28.06.2010 13:04
Порно-баннер	Volcha	Безопасность	4	04.06.2010 18:06
Порно-баннер	Хабанера	Безопасность	3	04.06.2010 11:23
Порно баннер	Alex_13	Безопасность	4	22.05.2010 23:13
И снова порно-баннер.	atom1ck	Безопасность	4	23.04.2010 22:55
Решено: Порно-баннер	Noobi	Безопасность	4	18.10.2009 18:45
порно баннер	zafer	Безопасность	14	10.08.2009 12:39
Порно-баннер	Настя	Безопасность	5	12.03.2009 22:29

06.01.2010, 20:58	#2 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Hardcore, На файлообменник www.webfile.ru или www.exfile.ru выложите пожалуста. Еще выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

07.01.2010, 01:57	#5 (ссылка)
Hardcore Новичок Регистрация: 06.01.2010 Сообщений: 11 Репутация: 0	romul781 спасибо огромное.Все выполнил как вы сказали Вот логи программ: Скачать virusinfo_syscheck.zip с WebFile.RU Скачать hijackthis.log с WebFile.RU

07.01.2010, 02:28	#7 (ссылка)
Hardcore Новичок Регистрация: 06.01.2010 Сообщений: 11 Репутация: 0	Скачать hijackthis.log с WebFile.RU Скачать virusinfo_syscheck.zip с WebFile.RU

07.01.2010, 17:37	#10 (ссылка)
Hardcore Новичок Регистрация: 06.01.2010 Сообщений: 11 Репутация: 0	Скачать hijackthis.log с WebFile.RU

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads