Рекламный порнобаннер pornohub

Darth Reals · 16.06.2010, 18:32

Здравствуйте, обращаюсь к вам со своей проблемом, надеюсь, что получится решить

номер 3381
текст 1840381873300

Небольшое предисловие

Появился тут вчера данный баннер. С такими вещами встречаюсь раз третий, наверное. Первый раз, когда появился подобный баннер его можно было даже передвигать по рабочему столу, он ни один процесс не блокировал, довольно легко удалось его убрать при помощи сервиса Deblocker от Касперского. Во второй раз все процессы запускались, но каждую секунду появлялся новый процесс от него же и процессор был загружен настолько, что ни один процесс (хоть и заблокирован не был) не запускался) на этот раз помог аналогичный Deblocker'у сервис от Доктора Веба. ну потом почистил все антивирем, вроде норм.

Теперь доходим до нынешней проблемы. Трояны эти с огромной скоростью прогрессируют. В итоге сейчас баннер перемещать нельзя, он запускается СРАЗУ с запуском ОС, а еще он делает недоступным АБСОЛЮТНО ВЕСЬ РАБОЧИЙ СТОЛ, включая панель задач, меню Пуск, и прочее. При клике мышкой в любую область рабочего стола (кроме самого баннера) пищит один из звуков виндоусовской ошибки. Ctrl + alt +del вызывает диспетчер задач (его иконка появляется в панели задач), но невидимый слой баннера скрывает его

и переключиться на него тоже невозможно) кнопкой Виндоус вызывается меню Пуск, но все элементы при наведении мышкой являются неактивными. С клавиатуры перемещаться тоже не получается. Единственно, что у меня получилось сделать - это при момощи ctrl + r вызывать меню выполнить (причем оно появляется, через секунду пропадает, и, как выяснилось, - находится в "невидимом" режиме"), прописать там taskkill /f /im explorer.exe ну и благополучно эксплорер.екзе убить

но в деле это никак не помогло. Пробовал безопасный режим - баннер там так же висит и рабочий стол тоже блокируется. Проверял коды в Deblocker, в сервисе Dr. Web - коды первого не подходят, а во втором их даже и нет. В итоге получается, что единственный вариант - вслепую работать с командной строкой.

Смиренно жду советов мастеров

01pump · 16.06.2010, 18:35

Darth Reals,

Смогёте ослилить LiveCD размером 140 МБ ? Вот http://pchelpforum.ru/showpost.php?p=69244&postcount=2 ссылка и инструкция какие там нужно сделать логи.

Или LiveCDmini . Только предупредите если будете качать mini. Я обьясню что и где в ней нужно запустить и проверить.

01pump · 16.06.2010, 19:01

Darth Reals,

Ваша задача (при успешной загрузке с любого из предложенных в инструкции LiveCD) попасть в удаленный реестр больной винды и в нем в ключе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon проверить значения у параметров:
у Shell должно быть только Explorer.exe
у Userinit должно быть только C:\WINDOWS\system32\userinit.exe, (именно с запятой в конце)

все лишние записи нужно удалить. А так же удалить сами файлы прописаннные в этих ключах (к примеру там может быть прописано навроде этого Shell=Explorer.exe, C:\Program Files\Common Files\Office\office.exe соответственно нужно удалить C:\Program Files\Common Files\Office\office.exe )

Darth Reals · 16.06.2010, 22:58

01pump,

Большое спасибо, качаю LiveCD, буду прожигать на флэшку, как приду домой - попробую

---------- Добавлено в 21:57 ---------- Предыдущее сообщение было написано в 18:14 ----------

Флэшка заработала, редактирую реестр:-) возникла следующая ситуация - в ключе Shell ничего лишнего нет, а вот в Usernit помимо его самого еще sdra64.exe, twex.exe, icondrv.exe, все расположены в Windows\system32, но проблема в том, что я их там не обнаружил)

01pump · 16.06.2010, 23:05

Darth Reals,

Удалите лишние значения и сделайте логи как написано в ссылке ( если конечно вы качали 140 МБ)
Кстати если скачали большой образ то в нем можно инет настроить как в обычной винде. Затем обновить базы drweb и им пролечить комп

01pump · 16.06.2010, 23:36

Darth Reals,

такие логи в вашей винде http://pchelpforum.ru/showpost.php?p=37758&postcount=1 сделайте и пришлите их.

Darth Reals · 17.06.2010, 00:08

01pump, я сменил приоритеты запуска и попробовал зайти под старой виндой, но мне биос в ответ выдал NTLDR is missing. Ничего такого вроде бы и не трогал) мне avz и hijackthis запускать под ЛайвСиДишной виндой?

01pump · 17.06.2010, 00:22

Darth Reals,

Этот файл http://exfile.ru/108343 в корень вашего системного диска при помощи LiveCD сохраните и перезагрузитесь

PS Или попробуйте с помощью LiveCD и ERD Commander откатить систему на раннюю точку восстановления.

Darth Reals · 17.06.2010, 01:15

01pump,

как оказалось, NTLDR все же был в корне системного диска, хотя я и заменил его, на всякий случай. Но биос все равно говорит мне, что его нет. Откатить не получается( С другой стороны - я сделал лог AVZ на зараженном диске C из LiveCD: http://exfile.ru/108360

winshelp · 17.06.2010, 02:17

Darth Reals, здравствуйте.

Цитата:

NTLDR is missing

Такое может выдавать - не только из за отсутствия файла NTLDR !!!
Причин такому сообщению может быть много!!!
Для начало проверьте не напортачили вы чего нибудь когда правили ветки реестра!
Проверьте системные файлы которые отвечают за загрузку, есть ли они на месте!
Проверьте наличие вот этих файлов:
C:\boot.ini
C:\NTDETECT.COM
C:\ntldr
C:\Windows\system32\userinit.exe

Darth Reals · 17.06.2010, 10:41

winshelp, здравствуйте

Проверил реестр - все в порядке. Проверил наличие файлов - все в порядке. Пока что под LiveCD проверяю компьютер на наличие вирусов (уже штук 10 троянов нашел :-D), как закончит - попробую под нормальной виндой зайти снова)

01pump · 17.06.2010, 10:46

Darth Reals,

Так вы поняли что в LiveCD есть ERD Commander с помощью которого можно откатить систему на нужную дату (если конечно у вас не было отключено восстановление системы)?

Darth Reals · 17.06.2010, 11:08

01pump,

да, это я понял) в меню "Выбор директории Windows" я указываю путь к диску C, далее иду в System Restore, выбираю первый пункт (откат), и мне вылезает табличка "Эта система не имеет точек восстановления. Точки восстановления найдены только на системах Windows XP и более поздних"

01pump · 17.06.2010, 11:10

Darth Reals,

Такссс....

А теперь давайте выкладывайте свои суперсверхсекретные данные: какая у вас ОС установлена на компе, какой комп.
Как вы вообще загружались с флешки.

У вас этот комп сейчас под рукой? Сможете с него один лог сделать?

Darth Reals · 17.06.2010, 11:22

01pump, да без проблем

Windows XP SP 3 (стоят две винды, обе XP SP3, но сборки разные, одна на C (отдельный хард на 112Гб - рабочая), вторая на D (465Гб - для всякого хлама - ей не пользуюсь, лень было сносить

)).

Процессор - Pentium 4 3.0 HT
Мать - ASUS P5GD2 Premium
2 Гб оперативной памяти
Видеокарта - Radeon X700 Pro

Как загружал с флэшки: фоткнул флэшку, при загрузке компьютера зашел в Биос, там поставил приоритет загрузки системы с Флэшки, вместо жестких дисков. Ту же операцию проделывал и обратно, но не вышло)

Да, сейчас за этим компьютером. Правда понял, что при перезагрузке этой системы, все изменения тоже откатываются

так что сеть я уже настраивал раз 10)

Лог при помощи AVZ я вчера уже делал, там скан диска C: http://exfile.ru/108360

16.06.2010, 18:32	#1 (ссылка)
Darth Reals Новичок Регистрация: 16.06.2010 Сообщений: 15 Репутация: 0	Рекламный порнобаннер pornohub Здравствуйте, обращаюсь к вам со своей проблемом, надеюсь, что получится решить номер 3381 текст 1840381873300 Небольшое предисловие Появился тут вчера данный баннер. С такими вещами встречаюсь раз третий, наверное. Первый раз, когда появился подобный баннер его можно было даже передвигать по рабочему столу, он ни один процесс не блокировал, довольно легко удалось его убрать при помощи сервиса Deblocker от Касперского. Во второй раз все процессы запускались, но каждую секунду появлялся новый процесс от него же и процессор был загружен настолько, что ни один процесс (хоть и заблокирован не был) не запускался) на этот раз помог аналогичный Deblocker'у сервис от Доктора Веба. ну потом почистил все антивирем, вроде норм. Теперь доходим до нынешней проблемы. Трояны эти с огромной скоростью прогрессируют. В итоге сейчас баннер перемещать нельзя, он запускается СРАЗУ с запуском ОС, а еще он делает недоступным АБСОЛЮТНО ВЕСЬ РАБОЧИЙ СТОЛ, включая панель задач, меню Пуск, и прочее. При клике мышкой в любую область рабочего стола (кроме самого баннера) пищит один из звуков виндоусовской ошибки. Ctrl + alt +del вызывает диспетчер задач (его иконка появляется в панели задач), но невидимый слой баннера скрывает его и переключиться на него тоже невозможно) кнопкой Виндоус вызывается меню Пуск, но все элементы при наведении мышкой являются неактивными. С клавиатуры перемещаться тоже не получается. Единственно, что у меня получилось сделать - это при момощи ctrl + r вызывать меню выполнить (причем оно появляется, через секунду пропадает, и, как выяснилось, - находится в "невидимом" режиме"), прописать там taskkill /f /im explorer.exe ну и благополучно эксплорер.екзе убить но в деле это никак не помогло. Пробовал безопасный режим - баннер там так же висит и рабочий стол тоже блокируется. Проверял коды в Deblocker, в сервисе Dr. Web - коды первого не подходят, а во втором их даже и нет. В итоге получается, что единственный вариант - вслепую работать с командной строкой. Смиренно жду советов мастеров

16.06.2010, 22:58	#4 (ссылка)
Darth Reals Новичок Регистрация: 16.06.2010 Сообщений: 15 Репутация: 0	01pump, Большое спасибо, качаю LiveCD, буду прожигать на флэшку, как приду домой - попробую ---------- Добавлено в 21:57 ---------- Предыдущее сообщение было написано в 18:14 ---------- Флэшка заработала, редактирую реестр:-) возникла следующая ситуация - в ключе Shell ничего лишнего нет, а вот в Usernit помимо его самого еще sdra64.exe, twex.exe, icondrv.exe, все расположены в Windows\system32, но проблема в том, что я их там не обнаружил) Последний раз редактировалось 01pump; 16.06.2010 в 23:03.

16.06.2010, 23:05	#5 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Darth Reals, Удалите лишние значения и сделайте логи как написано в ссылке ( если конечно вы качали 140 МБ) Кстати если скачали большой образ то в нем можно инет настроить как в обычной винде. Затем обновить базы drweb и им пролечить комп Последний раз редактировалось 01pump; 16.06.2010 в 23:15.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Рекламный блок pornohub	richard3	Безопасность	3	27.08.2010 13:55
Выскочил порнобаннер	Машустик	Безопасность	12	01.07.2010 15:17
Баннер pornohub	shtreg	Безопасность	1	03.06.2010 17:01
pornohub.com	NikolayTara	Безопасность	11	31.05.2010 15:21
Вирус www.pornohub.com	Valli377	Безопасность	6	30.05.2010 18:07
Баннер pornohub.com	Stmas	Безопасность	17	27.05.2010 20:19
Информер pornohub	Igg	Безопасность	2	25.05.2010 16:01
Порнобаннер пропал, но...!	chan.andrej2011	Безопасность	12	23.05.2010 21:05
Pornohub.com блокиратор	Pain	Безопасность	21	23.05.2010 12:35
Баннер pornohub.com	eclectic	Безопасность	10	20.05.2010 12:54

16.06.2010, 18:35	#2 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Darth Reals, Смогёте ослилить LiveCD размером 140 МБ ? Вот http://pchelpforum.ru/showpost.php?p=69244&postcount=2 ссылка и инструкция какие там нужно сделать логи. Или LiveCDmini . Только предупредите если будете качать mini. Я обьясню что и где в ней нужно запустить и проверить.

16.06.2010, 19:01	#3 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Darth Reals, Ваша задача (при успешной загрузке с любого из предложенных в инструкции LiveCD) попасть в удаленный реестр больной винды и в нем в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon проверить значения у параметров: у Shell должно быть только Explorer.exe у Userinit должно быть только C:\WINDOWS\system32\userinit.exe, (именно с запятой в конце) все лишние записи нужно удалить. А так же удалить сами файлы прописаннные в этих ключах (к примеру там может быть прописано навроде этого Shell=Explorer.exe, C:\Program Files\Common Files\Office\office.exe соответственно нужно удалить C:\Program Files\Common Files\Office\office.exe )

16.06.2010, 23:36	#6 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Darth Reals, такие логи в вашей винде http://pchelpforum.ru/showpost.php?p=37758&postcount=1 сделайте и пришлите их.

17.06.2010, 00:08	#7 (ссылка)
Darth Reals Новичок Регистрация: 16.06.2010 Сообщений: 15 Репутация: 0	01pump, я сменил приоритеты запуска и попробовал зайти под старой виндой, но мне биос в ответ выдал NTLDR is missing. Ничего такого вроде бы и не трогал) мне avz и hijackthis запускать под ЛайвСиДишной виндой?

17.06.2010, 00:22	#8 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Darth Reals, Этот файл http://exfile.ru/108343 в корень вашего системного диска при помощи LiveCD сохраните и перезагрузитесь PS Или попробуйте с помощью LiveCD и ERD Commander откатить систему на раннюю точку восстановления.

17.06.2010, 01:15	#9 (ссылка)
Darth Reals Новичок Регистрация: 16.06.2010 Сообщений: 15 Репутация: 0	01pump, как оказалось, NTLDR все же был в корне системного диска, хотя я и заменил его, на всякий случай. Но биос все равно говорит мне, что его нет. Откатить не получается( С другой стороны - я сделал лог AVZ на зараженном диске C из LiveCD: http://exfile.ru/108360

17.06.2010, 10:41	#11 (ссылка)
Darth Reals Новичок Регистрация: 16.06.2010 Сообщений: 15 Репутация: 0	winshelp, здравствуйте Проверил реестр - все в порядке. Проверил наличие файлов - все в порядке. Пока что под LiveCD проверяю компьютер на наличие вирусов (уже штук 10 троянов нашел :-D), как закончит - попробую под нормальной виндой зайти снова)

17.06.2010, 10:46	#12 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Darth Reals, Так вы поняли что в LiveCD есть ERD Commander с помощью которого можно откатить систему на нужную дату (если конечно у вас не было отключено восстановление системы)?

17.06.2010, 11:08	#13 (ссылка)
Darth Reals Новичок Регистрация: 16.06.2010 Сообщений: 15 Репутация: 0	01pump, да, это я понял) в меню "Выбор директории Windows" я указываю путь к диску C, далее иду в System Restore, выбираю первый пункт (откат), и мне вылезает табличка "Эта система не имеет точек восстановления. Точки восстановления найдены только на системах Windows XP и более поздних"

17.06.2010, 11:10	#14 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	Darth Reals, Такссс.... А теперь давайте выкладывайте свои суперсверхсекретные данные: какая у вас ОС установлена на компе, какой комп. Как вы вообще загружались с флешки. У вас этот комп сейчас под рукой? Сможете с него один лог сделать?

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

17.06.2010, 11:22	#15 (ссылка)
Darth Reals Новичок Регистрация: 16.06.2010 Сообщений: 15 Репутация: 0	01pump, да без проблем Windows XP SP 3 (стоят две винды, обе XP SP3, но сборки разные, одна на C (отдельный хард на 112Гб - рабочая), вторая на D (465Гб - для всякого хлама - ей не пользуюсь, лень было сносить )). Процессор - Pentium 4 3.0 HT Мать - ASUS P5GD2 Premium 2 Гб оперативной памяти Видеокарта - Radeon X700 Pro Как загружал с флэшки: фоткнул флэшку, при загрузке компьютера зашел в Биос, там поставил приоритет загрузки системы с Флэшки, вместо жестких дисков. Ту же операцию проделывал и обратно, но не вышло) Да, сейчас за этим компьютером. Правда понял, что при перезагрузке этой системы, все изменения тоже откатываются так что сеть я уже настраивал раз 10) Лог при помощи AVZ я вчера уже делал, там скан диска C: http://exfile.ru/108360