Перейти к содержимому


Фото
- - - - -

порнобаннер


  • Please log in to reply
21 ответов в этой теме

#1 kibmastix

kibmastix

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 01 Декабрь 2009 - 16:40

Здравствуйте

При попытке запустить какую-либо программу, кроме проводника, на весь экран открывается порно-баннер,
просящий отправить M20920007 на 3649.

При этом программа, как правило не запускается, а если запускается, то находится за баннером.
Если нажать сочетание клавиш Win+Break то порно-баннер скрывается, но появляется опять при любом запуске программы.
Удалось сделать лог Hijack

Прикрепленные файлы:



#2 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 01 Декабрь 2009 - 16:42

В вирлаб
C:\Program Files\Internet Explorer\svcnost.exe
Фиксить в HJ
O4 - HKLM\..\Run: [act0] C:\Program Files\Internet Explorer\smss.exe
На вирустотал
c:\windows\system32\winagent.exe

Сообщение было изменено mrbelyash: 01 Декабрь 2009 - 16:45

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#3 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 01 Декабрь 2009 - 16:43

Пофисите в хайджеке
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
O4 - HKLM\..\Run: [act0] C:\Program Files\Internet Explorer\smss.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\lhGKi.dll

А это - в вирлаб
C:\Program Files\Internet Explorer\svcnost.exe

#4 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Декабрь 2009 - 16:44

CureIt'ом пройтись надо бы.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#5 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 01 Декабрь 2009 - 16:45

В вирлаб
C:\Program Files\Internet Explorer\svcnost.exe

Туда же:
C:\Program Files\Internet Explorer\smss.exe
c:\windows\system32\winagent.exe
C:\WINDOWS\system32\lhGKi.dll
С уважением,
Борис А. Чертенко aka Borka.

#6 kibmastix

kibmastix

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 01 Декабрь 2009 - 16:48

Cureit не запускается. AVZ, Avast тоже.

#7 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Декабрь 2009 - 16:49

Cureit не запускается. AVZ, Avast тоже.


Чем мотивируют? А в Safe Mode?

Личный сайт по Энкодерам - http://vmartyanov.ru/


#8 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 01 Декабрь 2009 - 16:50

Cureit не запускается.

"Чем мотивирует свой отказ?" (с)
С уважением,
Борис А. Чертенко aka Borka.

#9 kibmastix

kibmastix

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 01 Декабрь 2009 - 16:53

"Чем мотивирует свой отказ?" (с)


либо вылетает банер, либо происходит перезагрузка ноута. Что в обычном, что в безопасном режиме

#10 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Декабрь 2009 - 16:55

Я бы попробовал пофиксить C:\WINDOWS\system32\lhGKi.dll и тут же запустить CureIt

Личный сайт по Энкодерам - http://vmartyanov.ru/


#11 kibmastix

kibmastix

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 01 Декабрь 2009 - 16:57

В вирлаб
C:\Program Files\Internet Explorer\svcnost.exe


На вирустотал
c:\windows\system32\winagent.exe


C:\WINDOWS\system32\lhGKi.dll


как это сделать?

#12 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Декабрь 2009 - 16:59

http://vms.drweb.com/sendvirus - оные файлы прислать в категорию "Неопределяемый вирус".

Личный сайт по Энкодерам - http://vmartyanov.ru/


#13 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 01 Декабрь 2009 - 17:00

В вирлаб
C:\Program Files\Internet Explorer\svcnost.exe


На вирустотал
c:\windows\system32\winagent.exe


C:\WINDOWS\system32\lhGKi.dll


как это сделать?

Отправленное изображение

На вирустотал не нужно-все в вирлаб (Прислать вирус)
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#14 kibmastix

kibmastix

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 01 Декабрь 2009 - 17:07

Я бы попробовал пофиксить C:\WINDOWS\system32\lhGKi.dll и тут же запустить CureIt


пофиксил, все равно не запускается. При нажатии на прогу ничего не происходит. При запуске AVZ происходит перезагрузка

#15 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 01 Декабрь 2009 - 17:08

Я бы попробовал пофиксить C:\WINDOWS\system32\lhGKi.dll и тут же запустить CureIt


пофиксил, все равно не запускается. При нажатии на прогу ничего не происходит


Переименовать в rundll32.pif и запустить тоже не выйдет?

Личный сайт по Энкодерам - http://vmartyanov.ru/


#16 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 01 Декабрь 2009 - 17:10

как это сделать?

Загрузиться с внешнего носителя и руками скопировать. Есть предположение, что часть из этих файлов не даст себя даже увидеть на диске.
С уважением,
Борис А. Чертенко aka Borka.

#17 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 01 Декабрь 2009 - 17:12

пофиксил,

Вы уверены? Повторите сканирование Хайджеком и убедитесь, что этих строк в логе нет.
С уважением,
Борис А. Чертенко aka Borka.

#18 kibmastix

kibmastix

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 01 Декабрь 2009 - 17:12

Да, подцепили сегодня соседи по офису этот же вирус. Еще копирует свои файлы в разные папки и обзывается касперским (хотя каспер никогда на тех компьютерах не стоял)


да да, псевдокасперские файлы тоже были... а вылечить удалось?

#19 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 01 Декабрь 2009 - 17:14

alarm
Ваш запрос выделен в отдельную тему

#20 Дитрий Р52

Дитрий Р52

    Member

  • Posters
  • 103 Сообщений:

Отправлено 01 Декабрь 2009 - 18:45

При попытке запустить какую-либо программу, кроме проводника, на весь экран открывается порно-баннер,
просящий отправить M20920007 на 3649.

При этом программа, как правило не запускается, а если запускается, то находится за баннером.
Если нажать сочетание клавиш Win+Break то порно-баннер скрывается, но появляется опять при любом запуске программы.


При прочтении этого сообщения меня посетило странное чувство... где-то я это уже видел :)

Может быть поможет мой опыт борьбы с таким баннером:
Мне удалось запустить программы при наличии такого баннера таким образом:
сразу после загрузки нажатием Win+R вызывается диалог выполнить
в нем пишется control userpasswords2 - OK
создается пользователь с паролем, добавляется в группу Администраторы
программы запускаются щелчком правой мышкой по ним и выбором "Запуск от имени...",
вводится имя этого пользователя м пароль. При этом баннер не запускается.
All your bugs are belong to us.