Порноинформер

Помогите пожалуйста, все время вылазит порно информер по центру экрана виндоус. В безопасном режиме тоже вылазит, подозрительных процессов в диспетчере задач нету, в автозагрузке тоже ничего нет. Я его вычислила в папке Common Files в Programm files. Там лежит папка замаскированная под безопасную программу. в первый раз под 3-d Max, второй раз под i-tunes, в третий под firefox. В папке лежит блокнотовский файл с текстом "123" и екзешник, как правило называется 1.exe. Удаляется папка только при загрузке с лайф-сиди. Удалила папку, затем перегрузилась - информер пропал. Через два дня появился снова, снова удалила, через пять дней опять появился. Каждый раз чистила реестр. Сначала думала, что хозяин компа регулярно тягает его заново с порносайтов, но вчера удалила его третий раз, никуда дальше одноклассников он не лазил, а сегодня информер вылез снова. Нод32 ничего не видит. Пробовала пройтись программой Malwarebyts после удаления информера - при нем ее окна за ним просто не видно - он выдал заражение реестра как раз по этому информеру: лог прилагаю.


Собственно вопрос: чего с ним делать, чтобы эта зараза больше никогда не появлялась.

Была еще такая проблема что нод32 не обновлялся и сайты антивирусов были недоступны - но с этим я разобралась с помощью рекомендаций с этого сайта, а теперь вот информер.
судя по всему, вы сами справились с проблемой, но для для дополнительной проверки сделайте скан системы с помощью обновленного NOD32, а так же запостите логи HJ, sysinspector, + выполнить route print >> c:\route.txt, файл route.txt так же запостить на форум.
===
файлы, которые не детектирует ESET NOD32, следует ему же и отправлять: support@esetnod32.ru, virusesnod32@gmail.com
Изменено: santy - 20.06.2010 19:48:08
сейчас сижу за зараженным компом. Опять снесла фалй - в этот раз Аськой прикрывался. Посмотрела логи - файлы появились сегодня в семь утра. Сделала поиск новых и измененных файлов сегодняшнего числа и нашла несколько экзешников вида: nYxW.exe и т.п. снесла и их. вычистила реестр. Хозяин компа вспомнил, что сегодня в Файрфоксе у него открылась страничка с якобы антивирусом, он ее закрыл, но при этом выскочило подтверждение закрытия со словами: а может вы передумаете и поставите наше программное обеспечение за 3 смс. Malwarebyts ничего не нашла. проверка вышеуказанных екзешников ей и нодом не дала ничего - отправила эти файлы в Нод на анализ - на всякий пожарный. Сегодня через сочетание клавиш Контрол-Таб увидела запущенное приложение с именем fhgdfgh - это с информером. На данный момент все подчистила и прилагаю скрины: результат поиска измененных файлов, подозрительное значение реестра, та самая страничка с "антивирусом" и данные по смс(интересно что адреса странички и ссылки на стоимость смс разные - на скринах видно). Плюс лог HJ,
1.JPG (81.56 КБ)
2.JPG (340.77 КБ)
3.JPG (125.52 КБ)
4.JPG (175.38 КБ)
5.JPG (157.01 КБ)
Плюс роут принт, только ввиде скрина, т.к. текстовый файл почему-то не создался.
На данный момент все хорошо, но уже с ужасом жду новой перезагрузки. так как по порно уже никто не лазит, а эта зараза все равно как Фредди Крюгер каждый раз восстает из пепла.
Mariya Filimonova
Найти файлы

C:\WINDOWS\system32\ago3Grn.exe
C:\WINDOWS\system32\Qpxn07M.exe
C:\WINDOWS\system32\DSKSMyH.exe

Поместить в архив, установить пароль infected и прислать мне virusesnod32@gmail.com для анализа!
Удалить данные файлы с ПК

В программе hijackthis поставить галочки напротив
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\ago3Grn.exe,\\?\globalroot\systemroot\system32\Qpxn07M.exe,\\?\globalroot\systemroot\system32\DSKSMyH.exe,

и нажмите Fix Checked

Перезагрузите ПК, судя по последнему скрину банер у Вас не на рабочем столе, а в браузере, судя по всему фейк сайт!
Прикрепете еще лог программы ESET SysInspector

Спасибо

PS: если файл еще раз появится пришлите его virusesnod32@gmail.com для анализа
Изменено: zloyDi - 20.06.2010 21:40:12

zloyDi, данных файлов не нашла. HJ прогнала и пофиксила. А баннер все-таки на столе, т.к. появляется даже в безопасном режиме - как я думаю тот сайт просто распространитель.
Цитата
Mariya Filimonova пишет:
zloyDi, данных файлов не нашла. HJ прогнала и пофиксила. А баннер все-таки на столе, т.к. появляется даже в безопасном режиме - как я думаю тот сайт просто распространитель.

Прикрепете лог программы ESET SysInspector и пришлите файл который Вы постоянно удаляете!
Спасибо.

Также я бы рекомендовал почистить временные файлы!
Изменено: zloyDi - 20.06.2010 22:06:42

Установите утилиту Spybot.
После установки пропустите все предложенные действия, все время нажимая "Далее". И в основном окне программы выберите "Найти и уничтожить" - "Начать проверку" (не забудьте окно программы растянуть вниз, чтобы были видны найденные угрозы)
Еще желательно посмотреть Ваш файл hosts.
C:\Windows\system32\drivers\ect\hosts
Или лог SysInspector (как сделать логи - ссылка)
Читают тему (гостей: 1)