порнобаннер

[Storm]

and2595, я имел в виду пруфлинк на новость о тех самых баннерах которые не поддаются лечащим утилитам. :)

Какой пруфлинк? Как выходит новая модификация, так и не поддается, пока не внесут в базу.

[Mr.Zet]

А что там в базу вносить? Это же не вирус. Структуру файлов ни что не меняет, просто устанавливается софтинка, у которой прав больше чем у тебя ))))
Отследить процесс и ручками прибить нужные файлы. Вся наука.
Microsoft Security Essentials отслеживает такое непотребство на раз.

[and2595]

Ссылкой на новость поделиться не могу ибо это сугубо личные наблюдения (по долгу службы приходится довольно часто разгребать мусор). Можно конечно процесс и ручками отследить, но не всегда получается (диспетчер просто не запускается, а в безопасном режиме лишних процессов нет, впрочем как и баннера). Кстати в последний раз лишних процессов вообще не было (смотрел и через диспетчер запускаемый AVZ и через ProcessExplorer), а баннер есть, вот и пригодился Spybot-Search&Destroy. Абсолютно никому ничего не навязываю просто советую.

[Kenny]

Лишнюю хрень найти всегда помогают утилиты от Sysinternals. А прибить можно с любого live-cd.

Storm, исходник у баннеров один, алгоритм генерации ключей почти у всех одинаков, это показали исследования 6-7 разных версий. Даже к самым последним генератор от Касперского рабочие ключи даёт.

[MAKC]

Spybot - Search & Destroy ИНСТАЛИРОВАЛ,НО НЕ ПОМОГАЕТ
что делать,народ?

[Doping87]

У тебя есть возможность запуска диспетчера задач, редактирования реестра?

[and2595]

Spybot - Search & Destroy ИНСТАЛИРОВАЛ,НО НЕ ПОМОГАЕТ
что делать,народ?

Базы обновили?

[Storm]

Storm, исходник у баннеров один, алгоритм генерации ключей почти у всех одинаков, это показали исследования 6-7 разных версий. Даже к самым последним генератор от Касперского рабочие ключи даёт.

Ну, мне не так повезло, правда у меня выборка маленькая, 2 случая всего, но в обоих генераторы ключей не помогли. В первом не помог и ливсд от др веба. Во втором на счет применимости ливсд не знаю, непосредственно на месте не я занимался.

[Kenny]

Странно :unknw: Кстати лучше использовать генератор от Касперского, у веба на данный момент устаревшие данные. :drink:

[MAKC]

У тебя есть возможность запуска диспетчера задач, редактирования реестра?

ctrl.alt.del-открыл диспетчер,но редактирование реестра нету там

[Kenny]

MAKC, Пуск->Выполнить->regedit->Enter :)

[MAKC]

Spybot - Search & Destroy ИНСТАЛИРОВАЛ,НО НЕ ПОМОГАЕТ
что делать,народ?

Базы обновили?

вроде обновил

[MAKC]

MAKC, Пуск->Выполнить->regedit->Enter :)

сделал,что далее?

[Doping87]

но редактирование реестра нету там

ну понятно что нет))) Вообщето это regedit в строке "выполнить"
ЗЫ посмотри утилитой Process Explorer что у тебя запущено на компьютере! Я помню избавился от банера путем удаления процесса из Explorer и далее почистил папку Application Data в которой и находилась вся эта вирусная дрянь

[Kenny]

чистка критических секций реестра
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\PersistentRoutes]
должно быть пусто
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
только то что вам реально нужно на загрузке
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
ключ AppInit_DLLs должен быть пустой, хотя видел вариант что стардоковский CursorXP так загружает свою дллку
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ Userinit должен быть "C:\\Windows\\system32\\userinit.exe,"
ключ Shell должен быть explorer.exe

И действительно, можешь ещё процессы поприбивать лишние.

[MAKC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\PersistentRoutes]
пусто

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]-
пусто

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ Userinit должен быть "C:\\Windows\\system32\\userinit.exe,"
ключ Shell должен быть explorer.exe
здесь всё так

[MAKC]

но редактирование реестра нету там

ну понятно что нет))) Вообщето это regedit в строке "выполнить"
ЗЫ посмотри утилитой Process Explorer что у тебя запущено на компьютере! Я помню избавился от банера путем удаления процесса из Explorer и далее почистил папку Application Data в которой и находилась вся эта вирусная дрянь

запустил эту прогу,но как узнать что там лишнее?

[Kenny]

Тогда ищи лишние процессы в Process Explorer, там есть кнопка Найти процесс, с мишенью такая. Вот ей торни на окно баннера.
Можно скриншот баннера?

[Doping87]

запустил эту прогу,но как узнать что там лишнее?

Если процесс запущен например из папок Temp или Aplication Data (в моем случае было так) то можешь убивать их.

[MAKC]

download/file.php?mode=view&id=12519

[MAKC]

Тогда ищи лишние процессы в Process Explorer, там есть кнопка Найти процесс, с мишенью такая. Вот ей торни на окно баннера.
Можно скриншот баннера?

viewtopic.php?f=51&t=47202&start=40

[Kenny]

MAKC, иди в файл c:/windows/system32/drivers/etc/hosts и удаляй оттуда все строки кроме 127.0.0.1 localhost
Потом обнови антивирь и на всякий случай проскань систему.

[MAKC]

MAKC, иди в файл c:/windows/system32/drivers/etc/hosts и удаляй оттуда все строки кроме 127.0.0.1 localhost
Потом обнови антивирь и на всякий случай проскань систему.

я это уже делал,сейчас проверил таи всё пусто,ни чего не помогает

[Doping87]

А может касперского снести попробовать? Просканить компьютер Cure it или Zone Alarm Pro

[Kenny]

MAKC, после сноса касперского посмотри опять список процессов, каспера под рукой нет, не знаю создаёт ли он два своих процесса. Ещё как вариант поискать файлик vkontakte.exe.

[and2595]

Process Explorer скорее всего покажет, что баннер принадлежит explorer.exe, для эксперимента можете тем же Process Explorer убить процесс explorer.exe, вместе с ним исчезнет баннер, потом запустить explorer.exe - баннер не появится, но до следующей перезагрузки. Если так, то настаиваю на использовании Spybot-Search&Destroy, НО С ТОЧНО СВЕЖИМИ БАЗАМИ.

[BORNDEAD]

скачайте avz, обновите, просканируйтесь и прикрепите отчет здесь

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\PersistentRoutes]
пусто

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]-
пусто

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ Userinit должен быть "C:\\Windows\\system32\\userinit.exe,"
ключ Shell должен быть explorer.exe
здесь всё так

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
ключ AppInit_DLLs
а тут что не написали, а между тем одно из самых важных мест

[Kenny]

Кстати кэш браузера почистите.

Тут -> \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters должно быть не пусто:

Во вкладке Parameters в правой части окна появится меню с именем файла, его типом и значением.
Выбери DataBasePath и нажми на него правой кнопкой мыши, выбери Изменить. Заменить значение на %SystemRoot%\System32\drivers\etc (если такое же значение, то заменять его не нужно).

[MAKC]

скачайте avz, обновите, просканируйтесь и прикрепите отчет здесь

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\PersistentRoutes]
пусто

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]-
пусто

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ Userinit должен быть "C:\\Windows\\system32\\userinit.exe,"
ключ Shell должен быть explorer.exe
здесь всё так

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
ключ AppInit_DLLs
а тут что не написали, а между тем одно из самых важных мест

[Kenny]

Значение левое, удаляй.