[решено] На моем экране через каждые 5 минут выскакивает порно заставка с оплатой.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

На моем экране через каждые 5 минут выскакивает порно заставка с оплатой.

Добрый день всем. ;)
Уменя такая беда. Вчера видно я куда-то зашел на один из интернет порталов и схватил вирус:
На моем экране через каждые 5 минут выскакивает порно заставка с оплатой смс по удалению ее.
Просьба помогите удалить данную гадость и посмотрите пожалуйста нет ли другой какой нибудь заразы на моем компьютере . Вот мои логи.

Нашел схожую проблему чуть ниже и сделал сам самостоятельно следующее:
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

HTML код:

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 TerminateProcessByName('c:\windows\services.exe');

 QuarantineFile('c:\windows\services.exe','');

 DeleteFile('c:\windows\services.exe');

BC_ImportALL;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

HTML код:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Занимаюсь самолечением...)))

Цитата:

Цитата sztksales

Занимаюсь самолечением...))) »

и угробите систему. В правилах раздела категорически запрещено использование чужих скриптов!!!

Цитата:

Цитата sztksales

посмотрите пожалуйста нет ли другой какой нибудь заразы на моем компьютере . Вот мои логи. »

Сейчас посмотрим. :) А скрипт, что вы написали, не выполняйте!

Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
• Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 TerminateProcessByName('c:\windows\services.exe');

 QuarantineFile('C:\WINDOWS\services.exe','');

 DeleteFile('C:\WINDOWS\services.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');

BC_ImportALL;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Повтотите логи.

okshef, Спасибо Вам, что напомнили о безопасности самостоятельных действий.
В следующий раз буду слушаться...))) :pray:

Drongo, Спасибо, что откликнулся на мою просьбу. :clapping:
К счастью или к сожалению но я выплнинил скрипт, что написал заранее.
Я так понимаю, что у меня зависла строчка:

HTML код:

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');

И что мне с ней делать???
В HiJackThis. пофиксил эту строку в HiJackThis

HTML код:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

- ее там больше нет.

По поводу Malwarebytes Anti-Malware могу сказать следующее. Эта программа распознает все, что ей кажется подозрительным и она уже однажды на моем компьютере признала много очень ценных пргорамм зловредами и даже сам хелпер который мне предлогал данную антивирусную помощь потом сам признался, что недоволен ей.... так что я лучше уж без нее обойдусь...
Ну что на моем компе еще есть какие нибудь еще зловреды..????
Drongo, как ты думаешь...???
Зловреда отправил на мыло в лабораторию касперского. Как отпишуться - сразу на форуме отпишусь...)))

Цитата:

Цитата sztksales

К счастью или к сожалению но я выплнинил скрипт, что написал заранее.
Я так понимаю, что у меня зависла строчка: »

Значит если вы выполнили ранний скрипт, то этой строки у вас видимо уже нет. Я так думаю? Хотя не пойму что вы имели ввиду когда говорили:

Код:

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');

зависла строчка? Скрипт не выполняется?

Цитата:

Цитата sztksales

ее там больше нет. »

Это хорошо. )))

Цитата:

Цитата sztksales

так что я лучше уж без нее обойдусь... »

Если это ваше решение, то это уже на свой страх и риск. Хоть CureIT проверьте. :)

Цитата:

Цитата sztksales

Drongo, как ты думаешь...??? »

Ну откуда я могу знать? Логов же повторных вы не сделали?

Drongo,
По поводу строчки я просто хотел сказать, что она у вас в скрипте была прописана, а я выполнил скрипт все то же самое, только без нее...

Пришел ответ от Касперского:

HTML код:

 Здравствуйте,



bcqr00001.ini,

bcqr00002.ini



Вредоносный код в файлах не обнаружен.



services.exe_ - Trojan-Ransom.Win32.PornoBro.bn



Этот файл определяется антивирусом. Обновите антивирусные базы.



Пожалуйста, при ответе включайте переписку целиком.

Вот выставляю новые логи. Посмотрите пожалуйста и скажите как с моим компьютером дела.
Здоров ли он ДоХтеР..... :type:

По поводу программы Culert.
У меня на компьютере стоит dr.WEB он этот вирус не смог увидеть, хотя я базы антивирусные обновлял перед поиском данной заразы....

C:\WINDOWS\system32\Drivers\Beep.sys проверьте на virustotal Ссылку на результат проверки сообщите

thyrex,
Проверил C:\WINDOWS\system32\Drivers\Beep.sys, вот ответ:

HTML код:

Файл уже проанализирован:

MD5: 09ef2e05778ae5d5043a5720b7546412 

First received: 2009.06.03 20:16:43 UTC 

Дата: 2009.06.03 20:16:43 UTC [>90D] 

Результаты: 0/40 

Permalink: analisis/196b2a4b7bbaacf19d4ceb0e547701b70fb9fbfc0831c9e5cf450f9aed24a177-1244060203

Цитата:

Цитата sztksales

Дата: 2009.06.03 20:16:43 »

Прошло уже три месяца с момента его проверки.
Нужно заново проверить файл

sztksales, Можете проверить файл на любом из представленных сайтов:

1. http://virusscan.jotti.org/ru
2. http://www.virscan.org/

Цитата:

Цитата thyrex

Нужно заново проверить файл »

ПО HASH MD5 - файл чистый

Цитата:

File beep.sys received on 2009.09.03 06:04:44 (UTC) Current status: finished Result: 0/41 (0.00%)

Ай спасибо Айболит - мой компьютер не болит,
Ай спасибоооооооооо Айболииииит - мой компьютер не болиииииит...))))))
У меня он не болит и по прежнему жужжит...))))
Ай спасибо Айболит!!!!!!! :4u:

Огромное СПАСИБО ВСЕМ!!!!
Если есть какие то замечания по здоровью моего компьютера просьба напишите мне...- будем лечить вместе....)))) :cool:

Цитата:

Цитата sztksales

Если есть какие то замечания по здоровью моего компьютера просьба напишите мне...- будем лечить вместе....)))) »

Заключительные рекомендации? :) Пожалуйста.

• Регулярно проверяйте систему утилитой CureIT
• Регулярно обновляйте базы для вашего антивируса.
• Не работайте с правами Администратора на компьютере.

• Можете почитать например книгу Безопасный Интернет. Универсальная защита для Windows ME - Vista

Успехов. :)

Спасибо Drongo, обязательно книгу почитаю... :)
У меня последний к Вам вопрос: не могу удалть в папке C:\TEMP файлы с расширением в имени ~DFCE1D.tmp
Кликаю на них удалить - а в ответ компьютер пишет:

Неудается удалить ~DFCE1D.tmp. Нет доступа.
Диск может быть переполнен или защещен от записи.
Либо файл занят другим приложением..

Что делать ума неприложу... :shout:

Цитата:

Цитата sztksales

Кликаю на них удалить - а в ответ компьютер пишет:
Неудается удалить ~DFCE1D.tmp. Нет доступа.
Диск может быть переполнен или защещен от записи.
Либо файл занят другим приложением..

Что делать ума неприложу... »

Удалить с помощью - Unlocker. Или - Никак не удаляются файлы (AVI и все остальные форматы).

Возможно это временный файл какой-то работающей в данный программы. У меня, например, тоже не все удаляются.

Drongo, Очень хорошая программа Unlocker Все помогла и все стерла из папки C:\TEMP Эти файлы оказываются образуются при вхождение в программму Internet Explorer и они ее поддерживают. Как только я их стер и снова решил зайти в интернет - как они снова там образовались.... :( Наверно так надо....
Ну что ж очень приятно, что так или иначе но все в этом мире решается и нет не решаемых проблем...
Спасибо огромное еще раз всем!!!!! :) :clapping: