Банер-информер.

[3kilos]

Здравствуйте!

 

Вчера столкнулся с этой проблемой.

Сначала не пускало на страницу сайта Вконтакте.

В файле hosts обнаружил и удалил новый адрес и напротив него адреса на соц. сайты (вконтакте, одноклассники).

Также пропали звуки при перемещении по папкам.

 

Сегодня утром включил компьютер, а там банер. Красный фон с двумя картинками, где парочки голых девок.

И сообщение следующего характера:

"Спасибо за установку нашего информера.

Данный программный продукт не является вирусом, не блокирует Диспетчер задач и другое ПО Вашего компьютера.

Для того, чтобы закрыть рекламный информер Отправьте SMS с текстом 5213308 на номер 5121

Введите полученный код: удалить банер

Правила."

 

При это не запускаются: Диспетчер задач (вместо этого он торчит в трее), Командная строка, браузеры ie и ff.

А если начать открывать папку, где хранятся антивирусные программы, то папка тут же закрывается, то же самое при попытке открыть C:\Documents and Settings\Лёха\Local Settings\Application Data\Mozilla\Firefox.

IE удалось запустить через Мой компьютер и ввод сайта в адресной строке.

 

Сервисы по получению кода для разблокировки не помогли, на странице доктора Веба еще нет кода для моего сообщения: 5213308, а на странице Касперского ни один код не подошел.

 

Запуск AVZ не удается, окно программы на секунду появляется, потом сворачивается в панель задач и вскоре вообще пропадает. Переименование файл программы не помогло.

Удалось запустить HijackThis, привожу лог.

 

Помогите пожалуйста справиться с этой напастью!

Заранее спасибо!

hijackthis.log

[apq]

3kilos, по правилам раздела должно быть еще два лога

[Misterio]

3kilos, по правилам раздела должно быть еще два лога

так пишет ведь, что авз не запускается. Хотя можно попробовать в безопасном режиме запустить. Заодно и Cureit прогнать

[snifer67]

Попробуйте удалить файл C:\Program Files\Common Files\Agent\agent.exe

 

Пофиксить в HijackThis

F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Agent\agent.exe

ПК перезагрузите.

[Mark D. Pearlstone]

3kilos, воспользуйте этим сервисом, а потом пробуйте делать логи AVZ.

[-=Kirill Strelets=-]

3kilos, по правилам раздела должно быть еще два лога

А если ему это не представляется возможным (заблокирован доступ AVZ вирусом) ?

[apq]

так пишет ведь, что авз не запускается.

можно попробовать полиморфный AVZ, должен запуститься. взять можно по ссылке в подписи у thyrex

Изменено 13 июня, 2010 пользователем apq

[3kilos]

agent.exe не удаляется.

 

Попробовал все коды на этом сервисе, не помогло.

 

Полиморфный AVZ перед созданием темы качал, не запускатся.

 

 

Пофиксил

F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Agent\agent.exe

в HijackThis и перезагрузился.

Банер исчез.

 

Спасибо помогло!

 

Все стало запускаться, единственное звук открытия и закрытия папок так и не восстановился.

 

Сейчас сделаю логи AVZ и HijackThis.

Удалять файл agent.exe? Там в папке еще два файла: readme и приложение Блокнот с именем 1.

 

Выполнил сканирование AVZ и HijackThis.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 13 июня, 2010 пользователем 3kilos

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('\\?\globalroot\systemroot\system32\NqK9UPX.exe','');
DeleteFile('C:\Program Files\Common Files\Agent\agent.exe');
BC_DeleteSvc('KTalk');
DeleteFile('\\?\globalroot\systemroot\system32\NqK9UPX.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб)

Сделайте новые логи.

[thyrex]

Там в папке еще два файла: readme и приложение Блокнот с именем 1

Запакуйте и прикрепите их к сообщению

[3kilos]

Размер карантина 608 байт.

Отправлять такой карантин?

 

Два файл из папки Agent.

Файл agent.exe был удален при выполнении скрипта. readme я раньше изменял, там было число и каждый раз оно изменялось, но это было еще при банере, также пробовал это число вводить в качестве кода, не помогло.

 

Отправил тот архив 608 байт.

 

Сделал новые логи.

Agent.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 13 июня, 2010 пользователем 3kilos

[Lida]

Точна такая же проблема как и в первом посте...

спачала не пускал в контакт. терепь баннер на рабочем столе(

помогите пжл от него избавиться...скачала хайджек и просканила

подскажите пжл что теперь?

1. 
    
   

вот что получила!

hijackthis.log

[миднайт]

3kilos

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\NqK9UPX.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\NqK9UPX.exe');
DeleteFile('C:\WINDOWS\system32\NqK9UPX.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
SetAVZPMStatus(True);
RebootWindows(true);
end.

 

После перезагрузки повторите логи (желательно сделать их обычной версией avz).

 

Lida, оформите запрос в отдельную тему. по правилам 3 лога должно быть.

Изменено 13 июня, 2010 пользователем миднайт

[3kilos]

Сделал логи обычной версией AVZ.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[snifer67]

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe