Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Новый порно-информер! (http://forum.oszone.net/showthread.php?t=157429)

tarakan1983 17-11-2009 23:22 1273031

Новый порно-информер!
 
Доброго времени суток. У меня такая проблема. С чего все началось, захотел я найти вирус IM-Worm.Win32.VB.ev, ну установил vmware 7, поставил на неё windows xp prof sp3, и голиком (без антивируса, фаервола и т.п.) оправился по просторам интернета в частности порно видео. Поймал порноинформер вот такой http://www.imget.ru/images/2009/11/17/POutJeA3Wr.jpg. Закрывает при загрузке весь экран нельзя нажать ни пуск ничего другого, диспетчер задач заблокирован. Мои действия порылся тут http://news.drweb.com/show/?i=304&c=5, там не нашел, качал отсюда офлайн форму, там тоже нет, загрузил последний LiveCD от DR. Web просканировал им, он ничего не нашел, скопировал из под дос все папки и файлы на флешку и потом флешку просканировал KAV 9.0.463 с последними базами - тоже ничего, с windows PE запусти утилиту AVZ и просканировал диск С, тоже ничего не нашла, с под самой винды возможности нет сделать логи или запустить какую либо утилиту, потомучто экран закрыт полностью и не работает ни alt+tab ни alt+F4. У кого какие есть предложения по этому поводу?
Забыл добавить есть файлик - причина заражения, файл exe - его я проверял и каспером и вебом, оба говорят файл безвредный.

iskander-k 17-11-2009 23:56 1273048

Выложите логи в соответствии с этими инструкциями.

tarakan1983 18-11-2009 00:02 1273050

И как я по вашему должен сдеть логи, если я не вижу рабочего стола, даже и маленького кусочка рабочего стола?

iskander-k 18-11-2009 00:11 1273055

Цитата:

Цитата tarakan1983
с windows PE запусти утилиту AVZ и просканировал диск С, »

эти логи давайте
Или попробуйте в безопасном режиме зайти. Или же просканируйте АВЗ вашу флэшку с файлами с компа. Может тогда получится сказать вам что удалить.

tarakan1983 18-11-2009 00:57 1273080

В безопасном режиме окно не убирается, т.е. безопасный режим ничем не отличается от обычного, на windowsPE удалось сделать логи только AVZ, HijackThis почемуто не запускается.

iskander-k 18-11-2009 09:07 1273197

По моему вы просканировали сам диск windowsPE .

thyrex 18-11-2009 18:48 1273768

Цитата:

Цитата iskander-k
По моему вы просканировали сам диск windowsPE . »

По другому и быть не могло

Попробуйте это сделать http://virusinfo.info/showthread.php?t=51777

tarakan1983 18-11-2009 22:18 1273985

Прошу прощенье за долгое молчание.
Цитата:

Цитата thyrex
Попробуйте это сделать http://virusinfo.info/showthread.php?t=51777 »

Проверил реестр, все соответствует т.е. по указанному пути параметр winlogon - C:\WINDOWS\system32\userinit.exe, (с запятой). Дело в то что система стартует и в обычном режиме и в безопасном, но сразу появляется порноинформер. Маленькая поправочка в системе только один пользователь встроенный Администратор.

Цитата:

Цитата iskander-k
По моему вы просканировали сам диск windowsPE . »

При сканировании я отметил диск С, но насколько я знаю AVZ сканирует системные процессы, поэтому он и выдал лог с системными процессами WindowsPE, могу и ошибаться.

tarakan1983 19-11-2009 00:10 1274066

Ура товарищи!
Значит решение такое.
1.Загружаемся с любого Live CD, где есть возможность редактирования реестра.
2.Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Shell должен быть такой explorer.exe, вмсесто него вы надете путь и файл который надо удалить.
6. Не забудьте выгрузить куст
7. Разблокируйте диспетчер задач. В Реестре Windows в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалите параметр DisableTaskMgr.
Примечание. Поставил касперского 2010 с базами на 18.11.2009 просканировал всю систему - он ничего не нашел. Попробовал этот файлик запустить при включенном касперском и как и ожидалось касперу по барабану, порноинформер вылез по новой.
P.S. Спасибо thyrex, если бы он не заставил полезть в раздел реестра winlogon я бы ничего не увидел.
PP.SS. Кому интересно могу прислать этот порноинформер.

tarakan1983 19-11-2009 01:58 1274112

Для совсем ленивых!
Можно загрузиться в "безопасном режиме с поддержкой командной строки" и запустить мою программку. :)


Вирусы запрещено присоединять к сообщению.

iskander-k 19-11-2009 17:12 1274847

Цитата:

Цитата tarakan1983
Попробовал этот файлик запустить при включенном касперском и как и ожидалось касперу по барабану, порноинформер вылез по новой. »

И не увидит. Потому что не знает.
Цитата:

Цитата tarakan1983
PP.SS. Кому интересно могу прислать этот порноинформер. »

Касперскому на newvirus@kaspersky.com. с описанием ситуации и что происходит. И что заражает. Дктору вебу тоже вышлите и т.д.

tarakan1983 19-11-2009 17:19 1274855

Цитата:

Цитата tarakan1983
Вирусы запрещено присоединять к сообщению. »

Это не вирус, а программка по удалению этого баннера, написанная на делфи.
Касперскому отослал и уже пришел ответ.

Цитата:

xxx_video_31490.avi.exe - Trojan-Ransom.Win32.PornoBlocker.aa Детектирование файла будет добавлено в следующее обновление.

iskander-k 19-11-2009 17:41 1274882

Цитата:

Цитата tarakan1983
Это не вирус, а программка по удалению этого баннера, »

Надо было подробнее сообщить - что это за программка. Если усовершенствуете её для запуска с CD. То можно будет выложить её на форуме. Иначе мало будет от неё пользы - мало кто сможет запустить комп в командной строке работать с прогой.


Время: 02:52.

Время: 02:52.
© OSzone.net 2001-