Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Порно-баннер и что-то пытается загрузиться. (http://forum.oszone.net/showthread.php?t=247582)

W.T. 24-11-2012 10:27 2031658
Порно-баннер и что-то пытается загрузиться.
 
Вложений: 3
Второй день на всех страницах вылазит порно-баннер (как в Опере, так и в IE).
NOD32 нашел вчера 4 гада, 3 из них удалил, для одного написал "удаление невозможно". Сегодня он больше ни одного не находит.
MBAM удалил 1 гада. Больше тоже не находит.

А баннер и ныне там. Сегодня еще при открытии почти всех страниц что-то пытается загрузиться:


Как избавиться от этого?

P.S. Вчера во время сканирования NODом комп перегрелся и отрубился посреди сканирования. Теперь во время загрузки на рабочем столе на мгновение вылазят 2 черных окна одно на другом, там появляется по 1 строчке, и окна сразу исчезают. Прочитать не успеваю, PrtSc нажать тоже. :(
Я теперь не знаю, то ли это сбой в системе/программах какой-то из-за того, что комп вырубился, то ли это вирусняк себя так проявляет.
Помогите, плиz!

regist 24-11-2012 10:57 2031666
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

+ приложите лог работы MBAM.

W.T. 24-11-2012 11:59 2031683
Готово! Всё в первом посте.

alex_sev 24-11-2012 14:02 2031763
Интернет через роутер?

W.T. 24-11-2012 14:04 2031765
Цитата:
Интернет через роутер?
Да.

alex_sev 24-11-2012 14:08 2031771
Сбрасываем настройки роутера кнопкой Reset на нем (подробнее читайте в инструкции по роутеру), затем заново забиваете в него настройки данные провайдером и ставите сложный пароль на него. Пароли qwerty qazwsxedc - не являются сложными.

Далее:
  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.

+

к предыдущему

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\W.T\LOCALS~1\Temp\3585968FdOh','');
 QuarantineFile('C:\DOCUME~1\W.T\LOCALS~1\Temp\3295015FdOh','');
 DeleteFile('C:\DOCUME~1\W.T\LOCALS~1\Temp\3295015FdOh');
 DeleteFile('C:\DOCUME~1\W.T\LOCALS~1\Temp\3585968FdOh');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3295281');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3586015');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O1 - Hosts: 46.251.249.137 www.odnoklassniki.ru vk.com m.odnoklassniki.ru my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru
O1 - Hosts: 46.251.249.136 mc.yandex.ru admulti.com counter.rambler.ru www.google-analytics.com counter.spylog.com
O4 - HKLM\..\Run: [3295281] cmd.exe /c copy C:\DOCUME~1\W.T\LOCALS~1\Temp\3295015FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f
O4 - HKLM\..\Run: [3586015] cmd.exe /c copy C:\DOCUME~1\W.T\LOCALS~1\Temp\3585968FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f
Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

W.T. 24-11-2012 14:39 2031793
Цитата:
Сбрасываем настройки роутера кнопкой Reset на нем (подробнее читайте в инструкции по роутеру), затем заново забиваете в него настройки данные провайдером и ставите сложный пароль на него.
Боюсь, я не могу это сделать.
Роутер мной не покупался, а "арендуется" у провайдера. Никаких инструкций и его настроек мне не давалось: пришел чувак со своим нетбуком, всё установил, ушел. На мои вопросы по поводу настроек и прочего сказал, что оборудование принадлежит им, всё настроено, как надо, мне ничего больше знать не надо.
Да и на этой фигне ни одной кнопки, кроме on/off нет. :)

P.S. Не особо разбираюсь в оборудовании.. Роутер - это одно и то же, что модем? В договоре говорится, что это оптический модем ONT.

alex_sev 24-11-2012 14:52 2031807
Ок, не нужно - это я лишнего сказал, думал regist уже просматривал логи.

Начинайте с этого
Цитата:
Цитата alex_sev
Подготовьте лог OTL by OldTimer »

W.T. 24-11-2012 15:58 2031855
Вложений: 3
Так, поехали.

1. После выполнения первого вашего скрипта в AVZ после перезагрузки больше не вылазило 2-х черных окон.
2. quarantine.zip улетел.
3.
Цитата:
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
У меня все строчки отсутствовали. :unsure: Это нормально?

4. Логи (вроде все):
5. По-моему эта Ж прекратила вылазить в браузере.
Если мне больше ничего нигде фиксить/сканить не надо и на этом можно закончить помощь, то порыскаю полчаса в Инете, если эта бешеная баба снова не начнёт вылазить, приду развешу благодарностей и отмечу решенной. :up
Только у меня на диске С файлы появились "COMMANDS" и "DISKREPORT". Их удалять?

alex_sev 24-11-2012 16:20 2031873
Цитата:
Цитата W.T.
Это нормально? »
Нормально
Цитата:
Цитата W.T.
Их удалять? »
Удаляйте - это от OTL.

Цитата:
Цитата W.T.
приду развешу благодарностей и отмечу решенной »
Давайте перед этим на уязвимости проверимся:
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.

W.T. 24-11-2012 16:50 2031890
Security Check by glax24 version 0.1.3.35 beta
WebSite: www.safezone.cc
DataLog 24.11.2012 21:49:27
Program directory: C:\Documents and Settings\W.T\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=0.8
__________________________________________________

WIN_XP (x86) Lan:0419
Service Pack 3
Internet Explorer 8.0
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление - Служба работает
Центр обеспечения безопасности - Служба работает
-------------Antivirus_WMI------------------------
ESET NOD32 Antivirus 4.2
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
TuneUp Utilities v.9.0.4020.35
-------------Java---------------------------------
Java 7 Update 6 v.7.0.60 Внимание! Скачать обновления
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.4.402.265 Внимание! Скачать обновления
-------------Browser------------------------------
Opera 11.61 v.11.61.1250 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.11.61.1250.0
-------------EndLog-------------------------------

Хм. Ну автообновление Винды я всё равно включать не буду. :) Когда оно было включено, то и дело после установки обновлений глючили программы или требовали скачать/установить что-то еще для корректной работы. :) Задолбало. Не столько работаешь на ПК, сколько что-то постоянно инсталлишь и фиксишь после этих обновлений.

alex_sev 24-11-2012 16:57 2031894
Пройдите по ссылкам в Вашем посте и скачайте и установите обновления.

Как правильно удалить антивирусные утилиты после лечения:
http://safezone.cc/forum/showthread.php?t=19966


Рекомендации после лечения:
http://forum.oszone.net/post-1838507-9.html

W.T. 24-11-2012 17:00 2031895
Спасибо!
Цены вам нет. :oszone:


Время: 01:16.

Время: 01:16.
© OSzone.net 2001-