Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   порнобаннер в браузере (http://forum.oszone.net/showthread.php?t=252940)

ath01 01-02-2013 18:32 2080339
порнобаннер в браузере
 
поймали порнобаннер + возникало какое-то сообщение квадратиками. баннер отражается вертикально слева во всех браузерах. в процессе борьбы с помощью cureit были удалены два трояна, исправлен днс в настройках сети. баннер по прежнему иногда появляется. сообщение с квадратами нет. прилагаю логи, помогите пожалуйста.

regist 01-02-2013 19:36 2080368
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Windows\explorer.exe','C:\Windows\explorer.exe:*:Enabled:ipsec');
 ExecuteRepair(3);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteRepair(10);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

+ откройте блокнотом файл
Код:
C:\Windows\tasks\jgxtq.job
и напишите здесь его содержимое, после этого удалите этот файл.

+ VPets.exe -такую программу (скринсейвер с животными) устанавливали ?

а также PCHDPlayer.exe (виртуальные девушки) устанавливали ?

ath01 01-02-2013 21:29 2080435
Цитата:
Цитата regist
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. »
файл отправил, да только архив пуст.

Цитата:
Цитата regist
+ откройте блокнотом файл
Код:
C:\Windows\tasks\jgxtq.job
и напишите здесь его содержимое, после этого удалите этот файл. »
 €sшГАC‹зPбh€cЂF М <
s Ђ  Ђ!Э     ; Ж . C : \ U s e r s \ U s e r \ A p p D a t a \ L o c a l \ T e m p \ w h r l m z g y . e x e
0<5B>20.   0 Э  *
 
Этот самый файл w h r l m z g y . e x e я первым делом нашел на ПК и прибил, но делу это не помогло

Цитата:
Цитата regist
+ VPets.exe -такую программу (скринсейвер с животными) устанавливали ?
а также PCHDPlayer.exe (виртуальные девушки) устанавливали ? »
ПК не мой. адекватно ответить устанавливали или нет мне не могут. файла деинсталляции на эти программы я найти не могу. если только просто удалить с диска C:

regist 02-02-2013 00:26 2080572
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
  QuarantineFile('C:\Program Files\VPets\VPets.exe','');
  QuarantineFileF('C:\Program Files\VPets','*', true,'',0 ,0);
  QuarantineFileF('C:\Program Files\pchd','*', true,'',0 ,0);
  DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
  DeleteFile('C:\Program Files\VPets\VPets.exe');
  DeleteFile('C:\Windows\tasks\jgxtq.job');
  DeleteFile('C:\Users\User\AppData\Local\Temp\whrlmzgy.exe');
  RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\VPetsPlayer');
  RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\PCHDPlayer');
  DeleteFileMask('C:\Program Files\VPets', '*', true);
  DeleteFileMask('C:\Program Files\pchd', '*', true);
  DeleteDirectory('C:\Program Files\VPets',' ');
  DeleteDirectory('C:\Program Files\pchd',' ');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
    ExecuteRepair(10);
    ExecuteRepair(3);
    ExecuteRepair(4);
    ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

ps/ не забудьте что утилиты надо запускать правой кнопкой от имени админа.

ath01 02-02-2013 18:55 2081063
все прикрепил

thyrex 03-02-2013 11:58 2081478
Запустите еще раз сканирование МВАМ и после его завершения отметьте и удалите только указанные ниже строки
Код:
Обнаруженные ключи в реестре:  1
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 튒ℙ引阛鬏폅掙࢖ገ୊寵욪녞洽딶鿇愨绻玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑❹둬줹荅猏㯄ẚ贀ᰆ㰶贲꧉玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑璊䱛扙玥놨쭑Ⅼ쎿弸㡶睰맒→藍玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑玥놨쭑㧃쬑캸� -> Действие не было предпринято.

ath01 03-02-2013 15:57 2081621
на этом все?

regist 03-02-2013 20:19 2081808
после этого сделайте новый лог сканирования MBAM

+
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.


а также отпишитесь, что с проблемами ?

ath01 04-02-2013 06:53 2082094
логи прикрепил. по проблемам пока ничего не понятно, потому как и после моей очистки пк баннеры возникали крайне редко. в общем через несколько дней отпишусь, надо посерфить побольше, потестировать. Вы не могли бы мне отписаться о характере вирусов и троянов? это были чисто смс вымогатели, или было такое вредоносное ПО, которое могло украсть пароли, сертификаты и тд?

ath01 11-02-2013 10:07 2087699
Ребята, а появилось ли какое-нибудь автоматизированное средство для удаления этого зловреда?

iskander-k 11-02-2013 22:54 2088284
Лучшая автоматизация это связка защитного ПО и пользователя. От пользователя требуется не лазить там где не положено и не грузить в компьютер разную дрянь в желании схалявничать. И не запрещать антивирусу удалить обнаруженное зловредное ПО из-за того что на сайте написано что это типа безобидно. :)


Время: 20:13.

Время: 20:13.
© OSzone.net 2001-