Рекламный блок.

Порнобаннер с sms, блоктрует все исполняемые файлы, таксменеджер, редактор реестра. Родился по идеее вчера. Ни один LiveCD с антивирусом не опознает наличие вируса. Лочит как XP так и W7, причем даже в безопасном режиме.

Пока нашел только один совет

прописал в реестре блокировку запуска таскменеджера и регедита в HCU\software\microsoft\windows\current version\police
сам вирус обнаружился как скрытый файл %windows%\system32\iHXFW.dll
файл отложил для дальнейшего изучения. запуск ее ни в реестре ни в %windows% не обнаружился

трейд у каспера

http://forum.kaspersky.com/index.php?showt...ic=146645&st=20

сам бы файлик достать, на форуме лежит бред какойто, я б его Comodo скормил

ordruf
сча достану, правда не знаю как аттачить ... машина сейчас гоняется на LiveCD DrWeb но думаю результата не будет, зато там на LiveCD есть MC. так что способ опубликовать файл найду

%windows%\system32\AFoPZ.dll
%windows%\system32\iHXFW.dll

%windows%\system32\sdra64.exe
%windows%\system32\VlPUQ.dll

DLL указанных на форуме касперского на больной машине не обнаружено

на форуме Comodo вроде тихо, но конфикера именно он первый распознал и лечил

Rumata может есть какие то аналогичные подозрительные? Судя по этим двум именам - название файла состоит из 5-ти английских букв, не несущих смысловой нагрузки. При чём буквы как большие так и маленькие. Больших больше.
Вообще хорошо бы размер в байтах знать этих файлов...
У меня к примеру файлов, походящих под эту маску, всего 18. И ни в одном из них в названии нет символов верхнего регистра...

У меня у знакомого на ноуте похожий случай. Пока гоняю CureIt! Доктора Вэба, в одной из папок найдена куча файлов вида CorHk.dll - то есть бессмысленный набор букв различного регистра с расширением dll. Распознается, как BackDoor.Siggen.3863
Оно - не оно пока сказать не готов, закончу чистку - отпишусь

Отредактировал Bimer - 27 Ноября, 2009, 14:17

Bimer не просто бессмысленный набор букв, а набор из 5-ти букв! Сообщите плиз размер файла в байтах, если возможно.

Bimer
мы на машине под вендой вообще ничего запустить не можем, пашем ее с LiveCD

Nikolas
К сожалению, доктор их уже похачил...

Rumata
Я работаю в защищенном режиме.
Кстати, я заметил, что в моем случае баннер вылазил при проявлении сетевой активности - т.е. даже в защищенном режиме с поддержкой сети при попытке обращения к сети

Bimer
в сейфмоде банерок также имеет место быть, и также все залочено, попробуем оставить без сети машинку

В общем и целом так:
CureIt! нашел файлов типа "5 английских букв различного регистра с расширением dll"
В папке C:\Documents and Settings\Имя_Пользователя\Local Setting\Temp\ - 11шт.
В папке %windows%\system32\ - 2шт.
В папке %windows%\temp\ - 1шт.

Для чистоты эксперимента AVZ запускать не стал

После перезагрузки баннер пропал.

Проблему с запуском regedit и Диспетчера задач пришлось решать путем загрузки с LiveCD и правкой веток
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies

Лично я там оставил только раздел Explorer, остальные посносив нафиг (особенно это касается System, где, собственно и сидят замки на запуск)

Bimer
мы плюнули таки, венду переустанавливаем

Rumata
Это уж кому как удобнее.
Я предпочитаю вычистить, дабы потом не заморачиваться поисками специфического софта, который зачастую использует пользователь. А также возможных криков боли о том, что было заботливо спрятано в корзину на рабочем столе...

Формат жесткого диска уверенно лидирует в списке антивирусов.

Отредактировал Bimer - 27 Ноября, 2009, 17:58

Кста, этой осенью, пока нас не было дома, тож хто-та сидел за моим компом.
Приезжаю, а у меня там ентот порнобаннер. Где они его подхватили, хз.
С дохтуром Вебом ничего не получалось. Он че-та не мог справицо с баннером. Я пользуюсь в основном лисичкой. Поползала по форумам и нашла совет - установить adblock plus.
Вероятно, это не выход из ситуации. Лучше было бы переустановить винду, но пока вроде все ок.
Ы, не знаю, по теме я или нет..
Сорри, если что

Heavenward не =) У Вас была другая проблема. Если бы Вы подхватили вирус, как описывают в этом трэде, то Вы бы и FireFox вообще не запустили

а как это вирус подхватывается?
И вообще стоит ли включать веб-антивирус в Каспере? А то он заметно тормозит загрузку страниц и я его все чаще отключаю. Надеюсь только на антивирус (компонент).

а как это вирус подхватывается?
И вообще стоит ли включать веб-антивирус в Каспере? А то он заметно тормозит загрузку страниц и я его все чаще отключаю. Надеюсь только на антивирус (компонент).

Кстати о птичках.
После восстановления работоспособности ноута (в каком объеме она восстановлена станет ясно после того, как владелец его погоняет, так как на первый взгляд все в норме) выяснилось, что в качестве антивиря был установлен "горячо любимый" мною Касперский... Причем согласно имеющимся данным - свежеобновленный и вполне работоспособный. Он и остался дальше "сторожить", правда не знаю - чего он там так насторожит

Отредактировал Bimer - 27 Ноября, 2009, 20:30

Bimer
дело в том что мы по ходу действия других LiveCD антивирей повредили работу самого вируса. в результате начало фиксится контекстное меню и дабл клик, машина просто уходила в ребут.

веселый зверь вылез на просторы, ничего не скажешь.

владелец машины просматривает постоянную группу сайтов, по прону не лазит, видимо кто-то "удачно" продал траф через iframe