Помогите убрать баннер пожалуйста :)

Discussion in 'Защита ОС: антивирусы, фаерволы, антишпионы' started by MisterTeng, 22 Oct 2012.

  1. MisterTeng

    MisterTeng New Member

    Joined:
    22 Oct 2012
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    В общем недавно столкнулся с такой проблемой, как баннер-вымогатель в вконтакте. совершенно новый баннер я так понимаю. т.к. код разблокировании не знает ни касперский, ни др. веб.
    скрин:
    http://clip2net.com/s/2qfUr

    ввожу потом левый номер, и мне просят отправить какие-то цифры на номер 3601.

    в общем я пытался почти всё. а может и не всё. в общем нуждаюсь в вашей помощи.
     
    #1 MisterTeng, 22 Oct 2012
    Last edited: 22 Oct 2012
  2. DooD

    DooD Elder - Старейшина

    Joined:
    30 Sep 2010
    Messages:
    1,168
    Likes Received:
    442
    Reputations:
    288
    скачай и запиши на диск или флешку загрузочный ERD Commander потом загрузи куст реестра через редактор реестра по пути C:\windows\system32\confing\
    загрузи файл SOFTWARE далее по стандарту,проверяешь ветки автозапуска и winlogon shell
    пысы : не понял это банер в браузере или на раб. столе??
     
  3. PRosTo_LEva

    PRosTo_LEva Elder - Старейшина

    Joined:
    18 Apr 2007
    Messages:
    449
    Likes Received:
    132
    Reputations:
    106
    Банер этот появляется только при обращении к сайту vk.com
    СИ продумана не плохо.
    Реализовано скорее всего по средствам подмены файла hosts с последующим удалением исполняемого файла (дабы крипт продержался дольше)

    Решение: открываем через блокнот файл hosts расположенный по адресу %windir%\System32\drivers\etc\ и чистим его.

    В довесок к этому следует обновить браузеры, флеш и яву. По возможности желательно установить актуальные обновления ОС.
     
  4. MisterTeng

    MisterTeng New Member

    Joined:
    22 Oct 2012
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    в браузере)
    у меня их 2 IE и Мазила. и везде этот баннер.
    Когда установил Хром и зашёл в вк, то всё равно появляется баннер.
     
  5. PRosTo_LEva

    PRosTo_LEva Elder - Старейшина

    Joined:
    18 Apr 2007
    Messages:
    449
    Likes Received:
    132
    Reputations:
    106
    Можем связаться в ICQ/skype запустишь тимвювер - я посмотрю.
     
  6. MisterTeng

    MisterTeng New Member

    Joined:
    22 Oct 2012
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    делал. не помогло.
     
  7. DooD

    DooD Elder - Старейшина

    Joined:
    30 Sep 2010
    Messages:
    1,168
    Likes Received:
    442
    Reputations:
    288
    пройдись hijackthis
     
  8. MisterTeng

    MisterTeng New Member

    Joined:
    22 Oct 2012
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    teng2014 - скайп.
    напиши свой на всякий)
     
  9. PRosTo_LEva

    PRosTo_LEva Elder - Старейшина

    Joined:
    18 Apr 2007
    Messages:
    449
    Likes Received:
    132
    Reputations:
    106
    В директории может быть создан фиктивный hosts
    В ОС Windows Vista+ файл скрыт особым образом
     
  10. MisterTeng

    MisterTeng New Member

    Joined:
    22 Oct 2012
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    эм, это что?)
     
  11. MisterTeng

    MisterTeng New Member

    Joined:
    22 Oct 2012
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    да, я понимаю) но другого hosts`а не нашёл.
    у меня семёрка )
     
  12. MisterTeng

    MisterTeng New Member

    Joined:
    22 Oct 2012
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Спасибо большое PRosTo_LEva. Реально помог. Искали проблему пол часа примерно. Он нашёл и устранил проблему. Молодчинка) Очень ему благодарен.
     
  13. justonline

    justonline network ninja

    Joined:
    27 Jul 2011
    Messages:
    499
    Likes Received:
    60
    Reputations:
    53
    а как словить то умудрился?
     
  14. PRosTo_LEva

    PRosTo_LEva Elder - Старейшина

    Joined:
    18 Apr 2007
    Messages:
    449
    Likes Received:
    132
    Reputations:
    106
    Суть оказалась следующей:
    Вирус попадал в компьютер под видом флеш плеера. Далее поднимал прокси на машине жертвы на порт 8083. После прописывал 127.0.0.1:8083 как прокси поумолчанию. Все браузеры соответственно вычитывали настройки прокси и работали через него. В нём происходил интересный процесс: фактически сайт vk.com загружался, а вот поверх него ложился вот этот скрипт: http://zalil.ru/33881550
    Скрипт вычитывался вот с этого сайта: http://vk-vmeste.ru/test/ где собственно его и можно посмтреть.
     
    2 people like this.
  15. justonline

    justonline network ninja

    Joined:
    27 Jul 2011
    Messages:
    499
    Likes Received:
    60
    Reputations:
    53
    интересный?) обычный инжект
     
  16. levik

    levik New Member

    Joined:
    20 May 2012
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    уважаемые!!! такая же проблема. ищу и немогу поймать его.
     
  17. po[w]er

    po[w]er Banned

    Joined:
    1 Oct 2012
    Messages:
    57
    Likes Received:
    0
    Reputations:
    0
    сталкивался с такой же проблемой, скачивал сплитер на р хост в итоге словил порно банер, не смог удалить, проблему решил снисением винды... Многие пытались помоч , но безполезно
     
  18. SeReXtal

    SeReXtal New Member

    Joined:
    5 Sep 2012
    Messages:
    21
    Likes Received:
    1
    Reputations:
    -5
    Любой баннер всегда можно снести без переустановки винды.
    1) Заведите себе флешку с лив сд.
    2) Заведи себе друга программиста-крутого хацкера.
    3) Обучись процессу удаления сам. (Гугл в помощь)

    П.С.
    Сносом, помочь, бесполезно.
     
    #18 SeReXtal, 6 Jan 2013
    Last edited: 6 Jan 2013
  19. lisvan

    lisvan Banned

    Joined:
    24 Apr 2011
    Messages:
    159
    Likes Received:
    90
    Reputations:
    2
    Сталкивался с данной бедой. Hosts чистил помогало.