Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Неопределяемый порнобанер. (http://forum.oszone.net/showthread.php?t=252585)

ВасильИваныч 29-01-2013 04:22 2077342
Неопределяемый порнобанер.
 
Вложений: 1
http://forum.oszone.net/thread-252195.html- темку нагуглил. Таже проблема. В ветку ответить не могу= пришлось создать новую.
Чтобы не парить мозги: что делал: стандарт- проверка хостс, надстроек и потрохов браузеров, автозапуска, програм файлз, процесов, очистка мусорных папок в тч кэша явы и флешплеера. Сканы: AVZ, CureIT и еще штук 5 разных= все чисто. Пробовал переустановить эксплорер, отключал яву и флешплеер=дохло. Единственное что зацепил- это в логах джека такую же строчку с сервером, но с другим айпишником с 37. начинается.. дюсельдорф..тот лог к сожалению удалил. В общем выглядит так же как в той теме /HKLM\System\CCS\Services\Tcpip\..\{*************}: NameServer айпишник/. Удалил ключ с айпишником сервера=дохло. Много еще чего попробовал.. например поиски левых dll типа ??lib, ну и там свои методы... злачные места.. коннекты..Ничерта не нашел.
Шняга подгружается случайным образом поверх окна сайта чаще всего справа в виде вертикальной колонки. Сверху кнопка-текст "закрыть". Срабатывает и в этом окне больше не появляется. Ничего не блокирует не вымогает. Предлагает порнуху и рекламу гламурного мусора. Проверил что будет если щелкнуть на нее. Просит номер мобилы для высылки пароля доступа. На набор цифр реагирует- "неправильный номер", на вбитый наобум номер, похожий на номер мобильника -реагирует "введите высланный вам пароль". Дальше не полез..Так как сделал это в порнухе а не в рекламе- с этого момента начала подсовывать исключительно порнуху. Разнообразием не отличается. Подсовывает каждый раз одно и тоже с небольшими вариантами. Картинки фото и анимация. Видимо отлавливает айпишник. Потому как несколько раз выдавала подписи под картинками с названием города ктр определяется по айпишнику..причем там есть нюанс с айпишником.. и эта штука сделала ту же ошибку.. Делаю вывод- вероятно это троян. Есть подозрение на старую версию торрент клиента(естественно он не в автозапуске..). Потому как зацепил долбаную вебалту и в ней эта штука оторвалась по полной уже с переадресацией и незакрываемым окном. Буду проверять. У какого какие соображения где искать?
Вешаю лог джека(чтобы не парились-WebAlta- удален но не все почистил). . Все остальное (да и этот лог тоже) вешать бесполезно. Если кого берут сомнения могу этот лог или свежий а также кучу всяких других с "угроз 0 подозрений 0" повесить в скрине с окном порнухи. У меня таких скринов достаточно- не вешаю по этическим соображениям.

SolarSpark 29-01-2013 07:09 2077360
http://forum.oszone.net/thread-98169.html вообщето надо полностью выполнять правила. Вам, может и бесполезно, нам пригодится

Почистите браузеры с помощью AVZ

меню Файл - Мастер поиска и устранения проблем - Категория - Чистка системы, Степень опасности - все проблемы.
отметьте:

Код:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке
очистите кэш dns командой ipconfig /flushdns

подключаетесь по роутеру?
Сбросьте настройки роутера кнопкой Reset на нем, затем заново введите провайдерские настройки и установите сложный пароль

+

Пофиксить в HijackThis следующие строчки:
Код:
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta.
Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

+ закроем дыры
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.

ВасильИваныч 29-01-2013 18:03 2077872
Спасибо за ответ.


Все делал .. и неоднократно.. и исследование системы запускал в AVZ..

Подключение модемное.. мысль переподключиться тоже на ум приходила.. попробую..чтото очень много у меня 127.0.0.0/1 там коннектится..

WebAlta- предупредил же- бренный невычищенный останок.

На момент подцепления банера все дыры были закрыты. в том ч анонимный вход автозапуски итп+ настройка политик и служб итп. (впрочем в логе и так многое видно....)

Сейчас кое что открыто тк еще имеется известная проблемка с МС инсталлером- и пытался решить восстановом с диска- не получилось..Законопатить- не проблема при наличии времени. (по причине того же долбаного msi не всем софтом ктр бы хотелось, могу пользоваться).

Попробовал МВАМ по совету в соседней ветке. Обнаружено несколько нужных вещей, и останки WebAlta. После уборки нужных вещей подальше и удаления останков- лог повторного скана делать бессмыссленно = сделал скрин "ничего не обнаружено" на фоне порнобанера. Млин ничего больше пробовать нехочется.. реально тошнит от этих сканеров и логов и бесполезного убийства времени.
Впрочем МВАМ был не совсем бесполезен. Что делал: открыл вот это /http://www.tamos.ru/products/nettools/, Побегал по страницам пока не подгрузился банерок и щелкнул по нему. МВАМ коннект отбил и выдал айпишник- а это все что мне было нужно... Сразу лезу в окно ENT и смотрю под каким процессом коннект... А коннект в основном под процессом AvastSvc.exe (штуки 3-6) и немного реже под другим процессом аваста (от 0 до2) (забавно то что не под процессом эксплорера коннект!!!!). Всобачиваю AvastSvc.exe в гугль и вижу кучу инфы под названием "вирус AvastSvc.exe". При наличии времени снесу аваст и буду разбираться - не даст он цобака коннекты нормально отследить.. в общем посмотреть подумать надо).// систему можно и под снос.. но все же хочется разобраться что за штуковина такая неуловимая и где.

з.ы предвосхищая вопрос.. при открытом интернете если все в покое - никуда нелезть.. на открытом окне какого либо сайта- сетевая активность нулевая.

regist 29-01-2013 19:35 2077958
Цитата:
http://forum.oszone.net/thread-98169.html вообщето надо полностью выполнять правила. Вам, может и бесполезно, нам пригодится
ждём полного комплекта логов.
+ в инет через роутер выходите ?

ВасильИваныч 01-02-2013 08:38 2079863
Цитата:
Цитата SolarSpark
меню Файл - Мастер поиска и устранения проблем - Категория - Чистка системы, Степень опасности - все проблемы.
отметьте:
Код: »
Очень похоже что Вы были абсолютно правы. Запустил мастер AVZ после scannow, посмотреть что в настройках открылось. Заодно решил еще раз почистить. Только в этот раз защита аваст случайно была выключена. Чтобы быть полностью точным, одновременно снес папки папки с останками явы. (как и говорил корректно удалить/переустановить не могу по причине "ошибка windows installer"). Банер вроде исчез. (Полностью неуверен- появляется он нерегулярно но 2 дня не вижу). Количество воскресающих после перезагруза неотображаемых папок в temporary internet files уменьшилось с 11 до 5, количество файлов в них с 15 -30 до 6 мб. (до этого 4-5 софтинами в т числе и AVZ и танцами с бубном чистил все в 0, снизить количество воскресающих папок ниже 7 не удавалось, естественно и все остальное тоже вместе с этим чистил). После всего решил почистить мусор в реестре поставил CCleaner. УРА! после очистки и перезагруза в temporary internet files воскресла только 1 папка с 1 файл но весом 3,3 мб. Интересно что там..
Если правильно понял, то теперь так мучает тот мусор ктр в старых версиях эксплорер удалялся за минуту? Интересно, кто нибудь вопросом неотображения папок и файлов в temporary internet files и трудностей в их очистке в свежих версиях IE всерьез занимался?
Еще интересуют видимые но неудаляемые cookie в папке temporary internet files вида "cookie:/user name/@домен" в свойствах только "адрес в кэше:****". При попытке открыть- сообщение "неудалось найти...проверьте правильность имени.." Одно такое полгода сидело- не мог ничем удалить (точнее удалялось- но воскресало после перезагруза). Автоклуб вроде- судя по хвосту после @. Старые CCliner вроде все снес, опять свежее появилось от мусорной системы майлру(вирус "спутник майлру"опять подцепил- все снес на 200%). Срок годности до мая 2013. Даже CCliner не берет. Где этот чертов кэш на ктр адрес ссылается и как чистится? Если это ссылка на папку cookie, как некоторые заявляют, то там все во всех пусто..кроме index..вес вроде ничего скрытого не показывает....

SolarSpark 01-02-2013 12:37 2080050
Очистите кэш память браузеров.
в Internet Explorer:
В меню браузера нужно выбрать пункт «Сервис»
В открывшемся разделе выбрать пункт «Удалить журнал обозревателя».
Откроется окно «Удаление истории обзора», в нем нужно установить флажок «Временные файлы интернета» и убедиться, что прочие флажки сняты.
Для завершения процесса нажать «Удалить».


+

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
автоматическая перезагрузка


Время: 19:33.

Время: 19:33.
© OSzone.net 2001-