Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Безопасность (https://forum.antichat.xyz/forumdisplay.php?f=41)
-   -   Принесли комп с порно баннером) Нужно удалить. Как? (https://forum.antichat.xyz/showthread.php?t=168806)

cheater_man 06.01.2010 20:53
Принесли комп с порно баннером) Нужно удалить. Как?
 
Логи
Код:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:32, on 06.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\RTHDCPL.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS.0\system32\igfxtray.exe
C:\WINDOWS.0\system32\hkcmd.exe
C:\WINDOWS.0\system32\igfxpers.exe
C:\Program Files\Mail.Ru\Agent\MAgent.exe
C:\WINDOWS.0\system32\igfxsrvc.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Program Files\VistaDriveIcon\VistaDrv.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
E:\dsd9f823.exe
C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\RarSFX2\guys88.exe
C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\RarSFX2\r82x5XP.exe
C:\Игры от NevoSoft\NevoDRM\run.exe
C:\Documents and Settings\Admin.MICROSOF-727CB0\Рабочий стол\HijackThisInstaller.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=22042
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS.0\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS.0\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS.0\system32\igfxpers.exe
O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [NevoDRM] "C:\Игры от NevoSoft\NevoDRM\NevoDRM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [Yupdate!] "C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS.0\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O8 - Extra context menu item: Поиск@Mail.Ru - res://c:\program files\mail.ru\sputnik\MailRuSputnik.dll/282
O8 - Extra context menu item: Словари@Mail.Ru - res://c:\program files\mail.ru\sputnik\MailRuSputnik.dll/283
O9 - Extra button: Cтатистика защиты веб-трафика - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D948EA59-DC15-4278-8EB2-817DED46BA91}: NameServer = 217.23.177.249,217.23.176.1
O23 - Service: avp - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS.0\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS.0\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS.0\system32\services.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS.0\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS.0\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS.0\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS.0\system32\wbem\wmiapsrv.exe

--
End of file - 8717 bytes

e[X]theta[M]ine 06.01.2010 20:55
C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\RarSFX2\guys 88.exe
C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\RarSFX2\r82x 5XP.exe
Вот в этом имхо проблема

GrandMaster 06.01.2010 20:58
В гугле полно информации как избавиться от него. Даже ключи есть, где вводишь и они удаляются.
До и где порно баннер? в браузере или на рабочем столе?

cheater_man 06.01.2010 20:59
Цитата:
Сообщение от e[X]theta[M]ine
C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\RarSFX2\guys 88.exe
C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\RarSFX2\r82x 5XP.exe
Вот в этом имхо проблема
Сорри чувак это процессы drweb'a :)
Их можно откинуть :)

cheater_man 06.01.2010 21:00
Цитата:
Сообщение от GrandMaster
В гугле полно информации как избавиться от него. Даже ключи есть, где вводишь и они удаляются.
До и где порно баннер? в браузере или на рабочем столе?
На рабочем столе загружается через минуту после загрузки винды.Нет такого номера у них в базе походу новенький :)

GrandMaster 06.01.2010 21:04
http://comprofit.ru/inform/index.php?id_page=2&id_article=37
лови

P.s юзай первый способ, он мне больше нравится ;)
P.s.s. в крайнем случаи восстанови систему :)

cheater_man 06.01.2010 21:08
Цитата:
Сообщение от GrandMaster
http://comprofit.ru/inform/index.php?id_page=2&id_article=37
лови

P.s юзай первый способ, он мне больше нравится ;)
P.s.s. в крайнем случаи восстанови систему :)
C такими я сам на ура справлялся но этот по сложнее будет :) Заблочит taskmgr :)

MAQUEEN 06.01.2010 21:08
а баннер не от "Cmedia" ?

cheater_man 06.01.2010 21:11
Цитата:
Сообщение от MAQUEEN
а баннер не от "Cmedia" ?
Чувак нет конечно :D Я же говорю посложнее

GrandMaster 06.01.2010 21:11
Напиши текст, который там написан (по-любому не просто фотки)

P.s восстанови систему на последнюю точку

cheater_man 06.01.2010 21:14
1.ОТправьте SMS с текстом 7331692+10+2 на номер 9800
2. и т.д.

EndLeSSDre@M 06.01.2010 21:22
да блин!!! седня убирал спокойно!!! в безопасном режиме загрузись, там выполни команды msconfig и убери лишнее с автозагрузки, потом зайди в системный диск и включи пока скрытых и системных файлов, тоже удали все лишнее(если только точно знаешь что там не лишнее, в противном случае лучше ниче не трогать!!!), потом зайди в программ файлс и поищи там плагины лишние, их и удали!!!! и все норм!!!! Я седня такой убрал у брата!!!

GrandMaster 06.01.2010 21:24
Цитата:
Необходимо скачать программу Spybot-Search & Destroy. Установить и сразу же после установки обновить. Выполнить полную проверку системы, найдутся файлы, которые следует удалить. После проверки этот банер исчезнет.
Попробуй это
Цитата:
Сначала просят отправит код 733167 на номер 9800 — вставляем 06159230
Затем просит отправить ЕЩЕ 1 смс с номером 733161 — вставляем 49685761

Если у вас другие цифры либо код выше не помог то пробуем ввести код 4243352762
А после ввести 7393936297

tramparam 06.01.2010 21:25
на работе была такая же проблема
открывалась картинка на весь экран даже в безопасном режиме она была поверх всего
повозились минут 10
подцепили к другой машине документы скопировали
и накатили зверь

Keltos 06.01.2010 21:30
Тут много вирусов...
CureIT заюзай, все удалит

MAQUEEN 06.01.2010 22:10
Тебе нужна утилита AVZ.
подробная информация о программетут

Keltos 06.01.2010 22:10
Цитата:
Сообщение от MAQUEEN
Тебе нужна утилита AVZ.
подробная информация о программетут
У него много недостатков

MAQUEEN 06.01.2010 22:12
Keltos, например ? я с ней работал, норм) (у ня была проблема с z-connect на VPN)

Keltos 06.01.2010 22:14
Цитата:
Сообщение от MAQUEEN
Keltos, например ? я с ней работал, норм) (у ня была проблема с z-connect на VPN)
Например: блокировка диспетчера задач, если он не найдет вирусы

jasd 06.01.2010 22:26
переустанови винду.
тоже встричал такое, типо отправь смс, чтоб пропал баннер,
сколько не пробовал ничего.
только винду переустановил.

KENT1994 06.01.2010 22:27
скрин есть?
если есть кидай) или хотя бы фотку

MAQUEEN 06.01.2010 22:29
jasd переустановка последнее дело. лучше уже поверху поставить.

tramparam 06.01.2010 23:08
Цитата:
Сообщение от Keltos
Тут много вирусов...
CureIT заюзай, все удалит

окно отрывалось через секунд 5 после запуска винды на весь экран

avz или CureIT запускать вообще не удавалось
просто баннер был поверх в безопасном режиме тоже

жаль не оставил на память название порнобанера
сча бы протестили заодно)

вариант с live cd drweba тоже не прокатил тока не помню почему

EndLeSSDre@M 06.01.2010 23:09
Цитата:
просто баннер был поверх в безопастном режиме тоже
тогда попробуй жесткий диск в другой комп поставить и там его проверить всеми антивирями!!! и поудалять все лишнее!!!

tramparam 06.01.2010 23:15
Цитата:
Сообщение от EndLeSSDre@M
тогда попробуй жесткий диск в другой комп поставить и там его проверить всеми антивирями!!! и поудалять все лишнее!!!
и это тоже делали
правда у меня половина на работе поклоники авиры
она толком не вылечила

EndLeSSDre@M 06.01.2010 23:27
ну тогда только откат системы по идее может помоч, больше я не наю че посоветовать(((

BHop 06.01.2010 23:33
Была аналогичная ситуация сегодня у сотрудника на домашнем компе. Помог, как и в подавляющем большинстве подобных ситуаций не раз выручивший свежий (22.12.2009) Alkid Live CD. С него запускается сканирование AVP'шником, потом Dr.Web, а после можно и NOD32. Обычно вирусня обраруживается только в папках Windows/Sysyem32, "Documents and Settings" и "System Volume Information", так что достаточно сканить только их. Потом можно сделать автоматическую чистку реестра CCleaner'ом (присутствует на Alkid Live CD).
Для очистки совести после удачной загрузки можно ещё сделать контрольный выстрел в виде скана софтинами Dr.Web CureIT, Ad Aware и Trojan killer. Нередко и они что-то находят после Live CD.

BHop 06.01.2010 23:34
Цитата:
Сообщение от EndLeSSDre@M
ну тогда только откат системы по идее может помоч, больше я не наю че посоветовать(((
Мне откат в случае с порно-баннерами, увы, ни разу не помогал :mad:

Keltos 06.01.2010 23:36
ТС пока ничего на компе не трогай,сейчас сижу с мобилы,завтра отпишу что надо делать.

WM-votes 06.01.2010 23:38
Зачём сразу менять винду?
можно ведь просто Скачать Trojan-remover последней версии,он всё это палит и изолирует!

1kaktyc 06.01.2010 23:48
на выручало много раз http://news.drweb.com/show/?i=304
если помог + )))

EndLeSSDre@M 07.01.2010 00:48
Цитата:
на выручало много раз http://news.drweb.com/show/?i=304
если помог + )))
ты бы хоть прочитал что нужно!!! прежде чем это выкладывать

Keltos 07.01.2010 00:55
Доступ в инет есть?

qwerra 07.01.2010 01:19
Столько советов,а ТС даже не потрудился скрин выложить

cheater_man 07.01.2010 09:06
Цитата:
Сообщение от Keltos
Тут много вирусов...
CureIT заюзай, все удалит
Пробовал он ничего не нашел

cheater_man 07.01.2010 09:09
Цитата:
Сообщение от jasd
переустанови винду.
тоже встричал такое, типо отправь смс, чтоб пропал баннер,
сколько не пробовал ничего.
только винду переустановил.
Чувак ты мочишь :D Винду переустанавливают в такой ситуации только ЧАЙНИКИ :D

lolec69 07.01.2010 09:14
недавно позвонили с такой же проблемой. правда они смску отправляли ещё, но не помогло. позвонили вобщем, я через часов 5-7 пришел - вируса какбы и нету.

Keltos 07.01.2010 10:58
Цитата:
Сообщение от lolec69
недавно позвонили с такой же проблемой. правда они смску отправляли ещё, но не помогло. позвонили вобщем, я через часов 5-7 пришел - вируса какбы и нету.
Это другой вирус.

По сабжу:

Описано здесь http://news.drweb.com/show/?i=304&c=5
Отсюда качаешь LiveCD от DrWeb. http://www.freedrweb.com/livecd/
Делаешь диск.
файлы blocker.bin и blocker.exe, в C:\Documents and Settings\All Users\Application Data Загрузишься с созданного диска. Просканируй. Должно помочь.
Если на поможет делаешь еще так.
Грузишься с LiveCD (Или аналогичного).
Удалиш файлы blocker.exe и blocker.bin из директории
C:\Documents and Settings\All Users\Application Data, а также в
разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon меняешь значение параметра "Userinit" с
"C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPL
IC~1\\blocker.exe" на "C:\\WINDOWS\\system32\\userinit.exe"

Live CD должен помочь

cheater_man 07.01.2010 13:17
Цитата:
Сообщение от Keltos
Это другой вирус.

По сабжу:

Описано здесь http://news.drweb.com/show/?i=304&c=5
Отсюда качаешь LiveCD от DrWeb. http://www.freedrweb.com/livecd/
Делаешь диск.
файлы blocker.bin и blocker.exe, в C:\Documents and Settings\All Users\Application Data Загрузишься с созданного диска. Просканируй. Должно помочь.
Если на поможет делаешь еще так.
Грузишься с LiveCD (Или аналогичного).
Удалиш файлы blocker.exe и blocker.bin из директории
C:\Documents and Settings\All Users\Application Data, а также в
разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon меняешь значение параметра "Userinit" с
"C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPL
IC~1\\blocker.exe" на "C:\\WINDOWS\\system32\\userinit.exe"

Live CD должен помочь
Спасибо всем за советы, а тебе отдельное :) Проблемма решена :)

qwerra 07.01.2010 20:40
На дедике запустл одну подозрительную хрень.вон,что получилось)


http://img209.imageshack.us/img209/9141/a8cc2803c.jpg


Время: 09:56
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице