Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] В браузере выскакивает порнографическое окно (http://forum.oszone.net/showthread.php?t=137845)

SANIOK_AV 16-04-2009 12:32 1095653

В браузере выскакивает порнографическое окно
 
Вложений: 1
Доброго времени суток!
Ситуация такова:
товарищ принёс компьютер, жалуется на то, что при подключении к интернету через некоторое время в браузере (у него Опера по умолчанию) появляется порнографическое окно с предложением ввести какойто тод, всё остальное пространство браузера затемняется...
Я просканировал каспером комп загрузившись с сидюка...каспер нашел только вирусы в карантине доктора веба...
може чёто с надстройками браузера?
помогите пожалуйста
заранее благодарен!!!
логи AVZ и HiJackThis прилагаю...

p.s.: к сожалению нет возможности проверить ... т.к. нет возможности подключить этот комп к интернету...((

Pili 16-04-2009 13:35 1095709

SANIOK_AV, Здравствуйте. Проблема в других браузерах появляется?
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\BOBA\Google\googletoolbar1.dll

В настройки IE прокси 1111:1111 сами поставили?
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\BOBA\Google\googletoolbar1.dll','');
 QuarantineFile('Srtcirteiu2m.sys','');
 DeleteFile('Srtcirteiu2m.sys');
 DeleteFile('C:\Documents and Settings\BOBA\Google\googletoolbar1.dll');
 DeleteService('Srtcirteiu2m');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:

begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

Если проблема появляется только в опере, запустите оперу, далее Ctrl+F12-Дополнительно-Содержимое-Настроить JavaScript - папка пользовательских скриптов - папка указана? Содержимое папки можете проверить на VT, а также запаковать с паролем virus и отправить в вирлаб на newvirus@kaspersky.com, само поле пользовательских скриптов можете очистить и папку удалить. Альтернатива - удалить и установить оперу или лучше перейти на Firefox c плагином NoScript

Котяра 16-04-2009 13:49 1095717

Pili, там по логам C:\WINDOWS\vcdplayx.exe подозрительный мне кажется...

Цитата:

Цитата Pili
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch »

Pili, а эта строка что значит?

SANIOK_AV 16-04-2009 14:16 1095746

Вложений: 1
Цитата:

Цитата Pili
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему. »

отправил
Цитата:

Цитата Pili
Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis »

прикрепляю
Цитата:

Цитата Pili
В настройки IE прокси 1111:1111 сами поставили? »

трудно сказать ...хозяин компа от этого далёк... у него интернет через модем (помоему adsl) в сетевую карту...

Pili 16-04-2009 14:27 1095756

Цитата:

Цитата Котяра
там по логам C:\WINDOWS\vcdplayx.exe подозрительный мне кажется... »

воспользуйтесь поиском в google
Цитата:

Цитата Котяра
а эта строка что значит? »

В данном случае ICW должен производить настройку WMP при запуске.

SANIOK_AV, в логах чисто, проблема ещё наблюдается?

SANIOK_AV 16-04-2009 14:32 1095767

Цитата:

Цитата Pili
Ctrl+F12-Дополнительно-Содержимое-Настроить JavaScript - папка пользовательских скриптов - папка указана? »

указан файл с расширением js
Цитата:

Цитата Pili
Содержимое папки можете проверить на VT »

это как?
Цитата:

Цитата Pili
а также запаковать с паролем virus и отправить в вирлаб »

всю папку profile запаковать или только файлик который был указан в Ctrl+F12-Дополнительно-Содержимое-Настроить JavaScript - папка пользовательских скриптов?
Цитата:

Цитата Pili
само поле пользовательских скриптов можете очистить и папку удалить »

удалить папку profile?

Цитата:

Цитата Pili
SANIOK_AV, в логах чисто, проблема ещё наблюдается? »

так говорю же....нет возможности ща этот комп к инету подключить...(((((

Pili 16-04-2009 14:54 1095801

Цитата:

Цитата SANIOK_AV
это как? »

этот файл с расширением js можете проверить на http://www.virustotal.com/
Цитата:

Цитата SANIOK_AV
или только файлик который был указан »

Если профиль используется, то только файл, если не используется, то можно всю папку (вероятно в ней только один файл).
Цитата:

Цитата SANIOK_AV
поле пользовательских скриптов можете очистить »

Можете просто перенести файл или папку в другое место, запаковать и отправить в вирлаб.
Цитата:

Цитата SANIOK_AV
нет возможности ща этот комп к инету подключить...((((( »

Ну, здесь я никак не могу помочь подключить компьютер к интернету...

Цитата:

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Если что-то из этого не нужно, скажите, можно будет отключить скриптом.

Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI)
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

SANIOK_AV 16-04-2009 15:08 1095815

Цитата:

Цитата Pili
этот файл с расширением js можете проверить на http://www.virustotal.com/ »

McAfee-GW-Edition 6.7.6 2009.04.16 Heuristic.HTML.Malware
остальные -

Цитата:

Цитата Pili
Если профиль используется »

как узнать что профиль используется?

Цитата:

Цитата Pili
то можно всю папку (вероятно в ней только один файл).»

в ней 13 папок и в корне 15 файлов...
Цитата:

Цитата Pili
Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! »

это домашний ПК ...

Цитата:

Цитата Pili
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) »

это я поотключаю...
Цитата:

Цитата Pili
>> Безопасность: к ПК разрешен доступ анонимного пользователя »

как это отключить?

Pili 16-04-2009 15:31 1095838

Цитата:

Цитата SANIOK_AV
остальные - »

3-ий раз рекомендую, отправьте файл в вирлаб.
Цитата:

Цитата SANIOK_AV
как узнать что профиль используется? »

Спросите у того, кто использует и настраивал оперу, выше я рекомендовал 2 раза
Цитата:

Цитата Pili
перейти на Firefox c плагином NoScript »

Цитата:

Цитата SANIOK_AV
как это отключить? »

Выполните в AVZ скрипт
Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.


SANIOK_AV 16-04-2009 16:08 1095887

Цитата:

Цитата Pili
3-ий раз рекомендую, отправьте файл в вирлаб. »

так отправил уже...))

Pili 16-04-2009 16:22 1095909

Цитата:

Цитата SANIOK_AV
так отправил уже...)) »

Хорошо. По логам у вас в системе нет антивируса, рекомендую установить один из бесплатных антивирусов, см. Free Antivirus Software и Выбор бесплатного антивируса

SANIOK_AV 16-04-2009 16:25 1095912

Pili,
Спасибо огромное!!!
как товарищ подлючится к инету сообщу о результате!
:oszone:

SANIOK_AV 16-04-2009 17:17 1095960

Цитата:

Цитата Pili
По логам у вас в системе нет антивируса, рекомендую установить один из бесплатных антивирусов »

я не хотел наперёд ставить...(чтоб не загружать систему)
ща уже поставил...
ещё раз спасибо огромное!!!

Pili 16-04-2009 18:06 1096011

SANIOK_AV, пожалуйста :) После проверки, если проблема исчезла, можете отметить тему решенной.

iskander-k 16-04-2009 19:00 1096067

Цитата:

Цитата Котяра
Pili, там по логам C:\WINDOWS\vcdplayx.exe подозрительный мне кажется... »

Котяра,
Это
Цитата:

CD emulation part of GameDrive& VirtualDrive from Farstone. Not required as starting these programs load this automatically

SANIOK_AV 17-04-2009 10:37 1096512

Цитата:

Цитата Pili
SANIOK_AV, пожалуйста После проверки, если проблема исчезла, можете отметить тему решенной. »

по словам товарища вроди исчесла!!!!
ЕЩЁ РАЗ ОГРОМНОЕ СПАСИБО!!! :oszone:

Pili 17-04-2009 11:00 1096531

SANIOK_AV, Пожалуйста. Если будут проблемы с вирусами, рады будем помочь :)

SANIOK_AV 23-04-2009 11:38 1101884

Товарищ говорит что в Фаерфоксе та же проблема осталась...
что сперва нужно сделать ? удаление фаерфокса....очистка временных файлов фаерфокса с помощью ATF-Cleaner .... установка фаерфокса?

Pili 23-04-2009 11:54 1101905

SANIOK_AV, по логам AVZ никакого firefox у вас в системе не было, рекомендации поста 7 выполнялись? Firefox используется с плагином NoScript?
Цитата:

Цитата SANIOK_AV
при подключении к интернету через некоторое время в браузере (у него Опера по умолчанию) появляется порнографическое окно »

Цитата:

Цитата Pili
Если проблема появляется только в опере, запустите оперу, далее Ctrl+F12-Дополнительно-Содержимое-Настроить JavaScript - папка пользовательских скриптов »

Цитата:

Цитата SANIOK_AV
удаление фаерфокса....очистка временных файлов фаерфокса с помощью ATF-Cleaner .... установка фаерфокса? »

Да, если проблема осталась, сделайте новые логи с включенным браузером.

SANIOK_AV 23-04-2009 13:10 1101985

Цитата:

Цитата Pili
по логам AVZ никакого firefox у вас в системе не было »

да был вроди...
Цитата:

Цитата Pili
рекомендации поста 7 выполнялись? »

службы поостанавливал...шары убрал...автозапуск отключиил...и т.д....
067 обновление ОС установил... SP3 вот только не захотел устанавливаться...
Цитата:

Цитата Pili
Firefox используется с плагином NoScript? »

я тоже если честно понял что только в Опере проблема появлялась... :sorry:
оказывается и в FF

Цитата:

Цитата Pili
Цитата SANIOK_AV:
удаление фаерфокса....очистка временных файлов фаерфокса с помощью ATF-Cleaner .... установка фаерфокса? »
Да »

так ведь после удаления фаерфокса в atf-cleaner неактивно меню firefox...

Цитата:

Цитата Pili
если проблема осталась, сделайте новые логи с включенным браузером »

так комп не возле меня...((
может переустановкой фаерфокса обойдётся?

Pili 23-04-2009 13:18 1101995

Цитата:

Цитата SANIOK_AV
так ведь после удаления фаерфокса в atf-cleaner неактивно меню firefox... »

Так и должно быть, очищать можно общие временные файлы и если есть браузера Опера, то временные файлы Оперы

SANIOK_AV 23-04-2009 13:23 1101999

Цитата:

Цитата Pili
Так и должно быть, очищать можно общие временные файлы и если есть браузера Опера, то временные файлы Оперы »

Спасибо...понял...

SANIOK_AV 24-04-2009 14:52 1102993

Pili, товарищ удалил FF ... посистил временные файлы ... установил FF с плагинами....
говорит что теперь всё ОК...
ещё раз огромное СПАСИБО!!! :oszone:

Pili 24-04-2009 16:19 1103095

SANIOK_AV, пожалуйста :) Чистого вам интернета!

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил


Время: 16:00.

Время: 16:00.
© OSzone.net 2001-