 |
|
|
21.03.2010, 17:49
|
#1 (ссылка) |
|
Новичок
Регистрация: 21.03.2010
Сообщений: 2
Репутация: 0
|
Подцепил порно баннер на рабочий стол
Здравствуйте! подцепил порно баннер на раб стол, стоит Kaspersky Internet Sec 2010, антивирусник ничего не обнаружил, диспетчер задач постояяно сворачивался поэтому через касперского залез в активость программ и увидел подозрительный процесс plugin.exe, завершил его, далее нашел его на диске и удалил. После перезагрузки компа начал полную проверку касперским, пишет что sdra64.exe является трояном, после лечения комп перезагружается и снова его находит и так постоянно, так понял что где-то еще остались "части" баннера, так же касперским было обнаружено что netprotocol.dll тоже троян.
Вот логи http://exfile.ru/90589 и http://exfile.ru/90592 |
|
|
21.03.2010, 18:17
|
#2 (ссылка) |
|
Знаток
|
ALTchel, здравствуйте!
Отключите компьютер от Интернет/локалки. Закройте/выгрузите все программы. Как выполнять скрипт и фиксы читаем здесь: http://pchelpforum.ru/f26/t24207/ Профиксите в HiJackThis: Код:
R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe hspe.uvo bnjpid O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user') Последний раз редактировалось winshelp; 21.03.2010 в 18:22. |
|
|
|
21.03.2010, 18:19
|
#3 (ссылка) |
|
Знаток
|
ALTchel.
Выполните скрипт в AVZ: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\hspe.uvo');
DeleteFile('c:\windows\system32\netprotocol.dll');
DeleteFile('C:\WINDOWS\system32\bf1f71fa.exe');
DeleteFile('C:\WINDOWS\system32\gpprefcl.dll');
DeleteFile('\\?\globalroot\systemroot\system32\g6giOhF.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{0E28E245-9368-4853-AD84-6DA3BA35BB75}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{17D89FEC-5C44-4972-B12D-241CAEF74509}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{1A6364EB-776B-4120-ADE1-B63A406A76B5}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3A0DBA37-F8B2-4356-83DE-3E90BD5C261F}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{5794DAFD-BE60-433f-88A2-1A31939AC01F}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{6232C319-91AC-4931-9385-E70C2B099F0E}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{6A4C88C6-C502-4f74-8F60-2CB23EDC24E2}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{7150F9BF-48AD-4da4-A49C-29EF4A8369BA}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{728EE579-943C-4519-9EF7-AB56765798ED}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{74EE6C03-5363-4554-B161-627540339CAB}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{91FBB303-0CD5-4055-BF42-E512A681B325}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A3F3E39B-5D83-4940-B954-28315B82F0A8}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{AADCED64-746C-4633-A97C-D61349046527}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B087BE9D-ED37-454f-AF9C-04291E351182}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{BC75B1ED-5833-4858-9BB8-CBF0B166DF9D}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{C418DD9D-0D14-4efb-8FBF-CFE535C8FAC7}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{E47248BA-94CC-49c4-BBB5-9EB7F05183D0}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{E4F48E54-F38D-4884-BFB9-D4D2E5729C18}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{E5094040-C46C-4115-B030-04FB2E545B00}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{E62688F0-25FD-4c90-BFF5-F508B9D2E31F}','DLLName');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{F9C77450-3A41-477E-9310-9ACD617BD9E3}','DLLName');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Обновите логи. |
|
|
|
21.03.2010, 20:19
|
#4 (ссылка) |
|
Новичок
Регистрация: 21.03.2010
Сообщений: 2
Репутация: 0
|
Спасибо большое, всеотлично, касперский ничего не обнаружил, теперь даже игруха left4dead2 запускается, а то раньше не хотела =)
http://exfile.ru/90629 http://exfile.ru/90630 |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Баннер под названием System Security Antivirus заблокировал рабочий стол | Borislav | Безопасность | 48 | 29.03.2011 19:26 |
| рабочий стол | Yury196 | Windows XP | 2 | 01.07.2010 10:41 |
| Баннер блокирует рабочий стол | Sicrus | Безопасность | 6 | 27.06.2010 21:32 |
| Подцепил порнушный рекламный баннер | Eugen044 | Безопасность | 3 | 21.03.2010 20:36 |
| Баннер на рабочий стол | ak-cologne | Windows 7 | 0 | 24.01.2010 03:30 |
| рабочий стол | Морфея | Графика | 6 | 05.01.2010 18:31 |
| Рабочий Стол | igoryanich | Windows Vista | 4 | 31.10.2009 20:00 |
| Рабочий стол. | Пельмешка | Windows XP | 3 | 15.09.2009 12:47 |
| Рабочий стол | GIGO | Безопасность | 16 | 06.08.2009 07:32 |
| рабочий стол | Ilsoyar | Windows Vista | 8 | 31.07.2009 00:09 |
| рабочий стол | бос | Windows XP | 3 | 17.06.2009 20:05 |
| Рабочий стол | Porex | Утилиты | 9 | 11.06.2009 00:10 |
