Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Порно баннер+win32.kido.ih+трояны (((((

Ответить
Настройки темы
Порно баннер+win32.kido.ih+трояны (((((

Новый участник


Сообщения: 32
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: rar hijackthis.rar
(3.7 Kb, 11 просмотров)
История болезни такова:
Изначально был подцеплен порно-баннер, который занимал пол страницы браузера (Opera) и просил отправить SMs и тд. Далее перестали отображаться и загружаться любые страницы, хотя подключение к сети есть и оно активно. Ссылается на то, что невозможно найти удаленный сервер . При чем запрашиваемый сайт например yandex , внизу дублируется фразой : Вы попытались получить доступ к адресу: http: freepornokino.info/fcontent.ru/index…..Не дает скачивать обновления, не дает зайти ни в один ICQ пейджер. Пробовал ставить Megafon Internet ( в качестве другого провайдера) , но ситуация та же самая.
При загрузке Windows ( SP 3) , появляется на пару секунд окно DOS со следующей надписью: Start Hasp Emu. C:\ Documents and Settings\ Andrey\ net start haspnt
После этого появляется окно сетевых подключений со следующей надписью : Вы или программа попытались запросить информацию с mrim.mail.ru (или как вариант с smilekand). Выберите подключение.
Еще одна странность: При нажатии правой кнопкой мыши на ярлык Мой компьютер или любую папку запускается Windows Installer и пытается установить пакет установки FineReaderEdition.msi. Пишет, что нужный ресурс находится на сетевом ресурсе, который сейчас недоступен.

Борьба заключалась в следующем:
1) Установлен Kaspersky 2010 и Tune Up Utilities. Kaspersky нашел около 20 вирусов, среди которых был Win32.Kido.ih . Очищен реестр, проведены все возможные оптимизации системы.
2) Установлен CCleaner и Nod 32. Последний нашел еще пару вирусов и убил их.
3) Установлен Zone Alarm и Trojan Remover
4) Установлен KidoKiller v 3.1 и KK последней версии
5)Установлен Dr.Web
6) Установлен WinsockFix
7) Установлен Atf-Cleaner ( ссылается, что невозможо очистить временные файлы Opera).
8) Установлены все заплатки для Windows , рекомендуемые при Win32.Kido.ih
Потерял надежду исправить все своими силама. С нетерпением жду помощи профессионалов.
P.S. : Логи отправляю с другого компьютера, тк зараженный не имеет выхода.
Стоят два браузера IE и Opera. Логи записывались при открытом окне IE. Не знаю имеет ли это значение или нет.

Отправлено: 14:28, 11-12-2009

 

Новый участник


Сообщения: 32
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: rar report.rar
(2.5 Kb, 10 просмотров)

2 Drongo: Лог от SDFix прикрепляю.

При запуске ComboFix пишет следующее: ComboFix is Offline

2 Iskander-k: 1C была установлена , но сейчас не стоит. Видимо ключ так до сих пор и висит, но раньше он не мешал выходу в интернет. Все началось после появления порно баннера.

Последний раз редактировалось Nightslim, 16-12-2009 в 17:31. Причина: Скачал ComboFix


Отправлено: 16:31, 16-12-2009 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 32
Благодарности: 0

Профиль | Отправить PM | Цитировать


Прикрепляю скрины, посмотрите. Первый при занрузке, второй при попытке загрузить страницу.

Последний раз редактировалось Nightslim, 21-12-2009 в 23:29.


Отправлено: 16:40, 16-12-2009 | #12


Новый участник


Сообщения: 32
Благодарности: 0

Профиль | Отправить PM | Цитировать


Еще одна странность. При попытке очистить временные файлы и историю Opera - ATF Cleaner'om, последний ссылается что ни один файл не был удален (No files were removed). После деинсталляция Opera и установки новой версии, вся история сохранена, как будто ничего не чистили и не удаляли.
С IE таких проблем нет.

Отправлено: 17:38, 16-12-2009 | #13


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5720
Благодарности: 1117

Профиль | Отправить PM | Цитировать


Цитата Nightslim:
Видимо ключ так до сих пор и висит, но раньше он не мешал выходу в интернет. Все началось после появления порно баннера. »
Удалите всё что касается этого крека - все его файлы. Возможно он заражен. Так как придраться больше не к чему.
Если не не получиться удалить штатными средствами скажите. Удалим через скрипт.

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Отправлено: 17:46, 16-12-2009 | #14


Новый участник


Сообщения: 32
Благодарности: 0

Профиль | Отправить PM | Цитировать


Еще один скрин при появлении Окна с просьбой о подключении + Диспетчер задач!

Последний раз редактировалось Nightslim, 21-12-2009 в 23:29.


Отправлено: 17:49, 16-12-2009 | #15


Новый участник


Сообщения: 32
Благодарности: 0

Профиль | Отправить PM | Цитировать


При появлении окна сетевых подключений, в диспетчере задач появляется вот этот процесс - rasautou.exe - что это?
2 Iskander-k: Удалить всю папку где он находится? Или только startnt.bat ?

Отправлено: 17:58, 16-12-2009 | #16


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5720
Благодарности: 1117

Профиль | Отправить PM | Цитировать


ONLine- проверка
http://www.pcpitstop.com/default.asp

Онлайновые антивирусы

Я как раз смотрю что у вас в диспетчере.

rasautou.exe (Remote Access Dialer) - У нормального должен быть размер 11 776 байт.


попробуйте - http://vil.nai.com/vil/stinger/
Ad-Aware SE! - http://www.lavasoftusa.com/default.shtml.ru
Tauscan

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Отправлено: 17:59, 16-12-2009 | #17


Новый участник


Сообщения: 32
Благодарности: 0

Профиль | Отправить PM | Цитировать


Online проверка не получится, тк компьютер не заходит ни на один сайт(см. фото SDC10513 JPG).

Отправлено: 18:03, 16-12-2009 | #18


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5720
Благодарности: 1117

Профиль | Отправить PM | Цитировать


У вас был установлен ZoneAlarm ?

Проверьте vsmon.exe. Если он от ZoneAlarm то должен быть в C:\WINDOWS\system32\ZONELABS\

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Отправлено: 18:21, 16-12-2009 | #19


Новый участник


Сообщения: 32
Благодарности: 0

Профиль | Отправить PM | Цитировать


Да, Zone Alarm был. Сейчас идет проверка вот этой прогой: http://vil.nai.com/vil/stinger/
Каким образом проверить vsmon.exe?

Отправлено: 18:23, 16-12-2009 | #20



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Порно баннер+win32.kido.ih+трояны (((((

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
порно смс баннер на рабочем Naiki Лечение систем от вредоносных программ 9 05-12-2009 19:18
Порно-баннер поверх всех окон NukeReACTOR Лечение систем от вредоносных программ 12 17-11-2009 20:21
Порно баннер burundook Лечение систем от вредоносных программ 1 18-09-2009 21:30
Порно баннер в IE другой Rock Лечение систем от вредоносных программ 6 07-08-2009 04:16
[решено] Порно баннер в IE seman Лечение систем от вредоносных программ 6 31-07-2009 22:13




 
Переход