Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 16.06.2010, 18:32   #1 (ссылка)
Новичок
 
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
По умолчанию Рекламный порнобаннер pornohub

Здравствуйте, обращаюсь к вам со своей проблемом, надеюсь, что получится решить

номер 3381
текст 1840381873300

Небольшое предисловие
Появился тут вчера данный баннер. С такими вещами встречаюсь раз третий, наверное. Первый раз, когда появился подобный баннер его можно было даже передвигать по рабочему столу, он ни один процесс не блокировал, довольно легко удалось его убрать при помощи сервиса Deblocker от Касперского. Во второй раз все процессы запускались, но каждую секунду появлялся новый процесс от него же и процессор был загружен настолько, что ни один процесс (хоть и заблокирован не был) не запускался) на этот раз помог аналогичный Deblocker'у сервис от Доктора Веба. ну потом почистил все антивирем, вроде норм.

Теперь доходим до нынешней проблемы. Трояны эти с огромной скоростью прогрессируют. В итоге сейчас баннер перемещать нельзя, он запускается СРАЗУ с запуском ОС, а еще он делает недоступным АБСОЛЮТНО ВЕСЬ РАБОЧИЙ СТОЛ, включая панель задач, меню Пуск, и прочее. При клике мышкой в любую область рабочего стола (кроме самого баннера) пищит один из звуков виндоусовской ошибки. Ctrl + alt +del вызывает диспетчер задач (его иконка появляется в панели задач), но невидимый слой баннера скрывает его и переключиться на него тоже невозможно) кнопкой Виндоус вызывается меню Пуск, но все элементы при наведении мышкой являются неактивными. С клавиатуры перемещаться тоже не получается. Единственно, что у меня получилось сделать - это при момощи ctrl + r вызывать меню выполнить (причем оно появляется, через секунду пропадает, и, как выяснилось, - находится в "невидимом" режиме"), прописать там taskkill /f /im explorer.exe ну и благополучно эксплорер.екзе убить но в деле это никак не помогло. Пробовал безопасный режим - баннер там так же висит и рабочий стол тоже блокируется. Проверял коды в Deblocker, в сервисе Dr. Web - коды первого не подходят, а во втором их даже и нет. В итоге получается, что единственный вариант - вслепую работать с командной строкой.

Смиренно жду советов мастеров
Darth Reals вне форума  
Старый 16.06.2010, 18:35   #2 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Darth Reals,

Смогёте ослилить LiveCD размером 140 МБ ? Вот http://pchelpforum.ru/showpost.php?p=69244&postcount=2 ссылка и инструкция какие там нужно сделать логи.

Или LiveCDmini . Только предупредите если будете качать mini. Я обьясню что и где в ней нужно запустить и проверить.
01pump вне форума  
Старый 16.06.2010, 19:01   #3 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Darth Reals,

Ваша задача (при успешной загрузке с любого из предложенных в инструкции LiveCD) попасть в удаленный реестр больной винды и в нем в ключе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon проверить значения у параметров:
у Shell должно быть только Explorer.exe
у Userinit должно быть только C:\WINDOWS\system32\userinit.exe, (именно с запятой в конце)

все лишние записи нужно удалить. А так же удалить сами файлы прописаннные в этих ключах (к примеру там может быть прописано навроде этого Shell=Explorer.exe, C:\Program Files\Common Files\Office\office.exe соответственно нужно удалить C:\Program Files\Common Files\Office\office.exe )
01pump вне форума  
Старый 16.06.2010, 22:58   #4 (ссылка)
Новичок
 
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
По умолчанию

01pump,

Большое спасибо, качаю LiveCD, буду прожигать на флэшку, как приду домой - попробую

---------- Добавлено в 21:57 ---------- Предыдущее сообщение было написано в 18:14 ----------

Флэшка заработала, редактирую реестр:-) возникла следующая ситуация - в ключе Shell ничего лишнего нет, а вот в Usernit помимо его самого еще sdra64.exe, twex.exe, icondrv.exe, все расположены в Windows\system32, но проблема в том, что я их там не обнаружил)

Последний раз редактировалось 01pump; 16.06.2010 в 23:03.
Darth Reals вне форума  
Старый 16.06.2010, 23:05   #5 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Darth Reals,

Удалите лишние значения и сделайте логи как написано в ссылке ( если конечно вы качали 140 МБ)
Кстати если скачали большой образ то в нем можно инет настроить как в обычной винде. Затем обновить базы drweb и им пролечить комп

Последний раз редактировалось 01pump; 16.06.2010 в 23:15.
01pump вне форума  
Старый 16.06.2010, 23:36   #6 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Darth Reals,

такие логи в вашей винде http://pchelpforum.ru/showpost.php?p=37758&postcount=1 сделайте и пришлите их.
01pump вне форума  
Старый 17.06.2010, 00:08   #7 (ссылка)
Новичок
 
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
По умолчанию

01pump, я сменил приоритеты запуска и попробовал зайти под старой виндой, но мне биос в ответ выдал NTLDR is missing. Ничего такого вроде бы и не трогал) мне avz и hijackthis запускать под ЛайвСиДишной виндой?
Darth Reals вне форума  
Старый 17.06.2010, 00:22   #8 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Darth Reals,


Этот файл http://exfile.ru/108343 в корень вашего системного диска при помощи LiveCD сохраните и перезагрузитесь

PS Или попробуйте с помощью LiveCD и ERD Commander откатить систему на раннюю точку восстановления.
01pump вне форума  
Ads
Старый 17.06.2010, 01:15   #9 (ссылка)
Новичок
 
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
По умолчанию

01pump,

как оказалось, NTLDR все же был в корне системного диска, хотя я и заменил его, на всякий случай. Но биос все равно говорит мне, что его нет. Откатить не получается( С другой стороны - я сделал лог AVZ на зараженном диске C из LiveCD: http://exfile.ru/108360
Darth Reals вне форума  
Старый 17.06.2010, 02:17   #10 (ссылка)
Знаток
 
Аватар для winshelp
 
Регистрация: 20.10.2008
Сообщений: 2,863
Записей в блоге: 2
Репутация: 164
По умолчанию

Darth Reals, здравствуйте.
Цитата:
NTLDR is missing
Такое может выдавать - не только из за отсутствия файла NTLDR !!!
Причин такому сообщению может быть много!!!
Для начало проверьте не напортачили вы чего нибудь когда правили ветки реестра!
Проверьте системные файлы которые отвечают за загрузку, есть ли они на месте!
Проверьте наличие вот этих файлов:
C:\boot.ini
C:\NTDETECT.COM
C:\ntldr
C:\Windows\system32\userinit.exe
winshelp вне форума  
Старый 17.06.2010, 10:41   #11 (ссылка)
Новичок
 
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
По умолчанию

winshelp, здравствуйте

Проверил реестр - все в порядке. Проверил наличие файлов - все в порядке. Пока что под LiveCD проверяю компьютер на наличие вирусов (уже штук 10 троянов нашел :-D), как закончит - попробую под нормальной виндой зайти снова)
Darth Reals вне форума  
Старый 17.06.2010, 10:46   #12 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Darth Reals,

Так вы поняли что в LiveCD есть ERD Commander с помощью которого можно откатить систему на нужную дату (если конечно у вас не было отключено восстановление системы)?
01pump вне форума  
Старый 17.06.2010, 11:08   #13 (ссылка)
Новичок
 
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
По умолчанию

01pump,

да, это я понял) в меню "Выбор директории Windows" я указываю путь к диску C, далее иду в System Restore, выбираю первый пункт (откат), и мне вылезает табличка "Эта система не имеет точек восстановления. Точки восстановления найдены только на системах Windows XP и более поздних"
Darth Reals вне форума  
Старый 17.06.2010, 11:10   #14 (ссылка)
Специалист
 
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
По умолчанию

Darth Reals,

Такссс....

А теперь давайте выкладывайте свои суперсверхсекретные данные: какая у вас ОС установлена на компе, какой комп.
Как вы вообще загружались с флешки.

У вас этот комп сейчас под рукой? Сможете с него один лог сделать?
01pump вне форума  
Старый 17.06.2010, 11:22   #15 (ссылка)
Новичок
 
Регистрация: 16.06.2010
Сообщений: 15
Репутация: 0
По умолчанию

01pump, да без проблем

Windows XP SP 3 (стоят две винды, обе XP SP3, но сборки разные, одна на C (отдельный хард на 112Гб - рабочая), вторая на D (465Гб - для всякого хлама - ей не пользуюсь, лень было сносить )).

Процессор - Pentium 4 3.0 HT
Мать - ASUS P5GD2 Premium
2 Гб оперативной памяти
Видеокарта - Radeon X700 Pro

Как загружал с флэшки: фоткнул флэшку, при загрузке компьютера зашел в Биос, там поставил приоритет загрузки системы с Флэшки, вместо жестких дисков. Ту же операцию проделывал и обратно, но не вышло)

Да, сейчас за этим компьютером. Правда понял, что при перезагрузке этой системы, все изменения тоже откатываются так что сеть я уже настраивал раз 10)

Лог при помощи AVZ я вчера уже делал, там скан диска C: http://exfile.ru/108360
Darth Reals вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Рекламный блок pornohub richard3 Безопасность 3 27.08.2010 13:55
Выскочил порнобаннер Машустик Безопасность 12 01.07.2010 15:17
Баннер pornohub shtreg Безопасность 1 03.06.2010 17:01
pornohub.com NikolayTara Безопасность 11 31.05.2010 15:21
Вирус www.pornohub.com Valli377 Безопасность 6 30.05.2010 18:07
Баннер pornohub.com Stmas Безопасность 17 27.05.2010 20:19
Информер pornohub Igg Безопасность 2 25.05.2010 16:01
Порнобаннер пропал, но...! chan.andrej2011 Безопасность 12 23.05.2010 21:05
Pornohub.com блокиратор Pain Безопасность 21 23.05.2010 12:35
Баннер pornohub.com eclectic Безопасность 10 20.05.2010 12:54


Текущее время: 12:10. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.