Доброго времени суток!
Ситуация такова:
товарищ принёс компьютер, жалуется на то, что при подключении к интернету через некоторое время в браузере (у него Опера по умолчанию) появляется порнографическое окно с предложением ввести какойто тод, всё остальное пространство браузера затемняется...
Я просканировал каспером комп загрузившись с сидюка...каспер нашел только вирусы в карантине доктора веба...
може чёто с надстройками браузера?
помогите пожалуйста
заранее благодарен!!!
логи AVZ и HiJackThis прилагаю...

p.s.: к сожалению нет возможности проверить ... т.к. нет возможности подключить этот комп к интернету...((

SANIOK_AV, Здравствуйте. Проблема в других браузерах появляется?
Запустите HiJackThis (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe), нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\BOBA\Google\googletoolbar1.dll
В настройки IE прокси 1111:1111 сами поставили?
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\BOBA\Google\googletoolbar1.dll','');
QuarantineFile('Srtcirteiu2m.sys','');
DeleteFile('Srtcirteiu2m.sys');
DeleteFile('C:\Documents and Settings\BOBA\Google\googletoolbar1.dll');
DeleteService('Srtcirteiu2m');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

Если проблема появляется только в опере, запустите оперу, далее Ctrl+F12-Дополнительно-Содержимое-Настроить JavaScript - папка пользовательских скриптов - папка указана? Содержимое папки можете проверить на VT, а также запаковать с паролем virus и отправить в вирлаб на newvirus@kaspersky.com, само поле пользовательских скриптов можете очистить и папку удалить. Альтернатива - удалить и установить оперу или лучше перейти на Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722)

Pili, там по логам C:\WINDOWS\vcdplayx.exe подозрительный мне кажется...

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch »
Pili, а эта строка что значит?

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему. »
отправил
Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis »
прикрепляю
В настройки IE прокси 1111:1111 сами поставили? »
трудно сказать ...хозяин компа от этого далёк... у него интернет через модем (помоему adsl) в сетевую карту...

там по логам C:\WINDOWS\vcdplayx.exe подозрительный мне кажется... »
воспользуйтесь поиском в google
а эта строка что значит? »
В данном случае ICW должен производить настройку WMP при запуске.

SANIOK_AV, в логах чисто, проблема ещё наблюдается?

Ctrl+F12-Дополнительно-Содержимое-Настроить JavaScript - папка пользовательских скриптов - папка указана? »
указан файл с расширением jsСодержимое папки можете проверить на VT »
это как?
а также запаковать с паролем virus и отправить в вирлаб »
всю папку profile запаковать или только файлик который был указан в Ctrl+F12-Дополнительно-Содержимое-Настроить JavaScript - папка пользовательских скриптов?
само поле пользовательских скриптов можете очистить и папку удалить »
удалить папку profile?

SANIOK_AV, в логах чисто, проблема ещё наблюдается? »
так говорю же....нет возможности ща этот комп к инету подключить...(((((

это как? »
этот файл с расширением js можете проверить на http://www.virustotal.com/
или только файлик который был указан »
Если профиль используется, то только файл, если не используется, то можно всю папку (вероятно в ней только один файл).
поле пользовательских скриптов можете очистить »
Можете просто перенести файл или папку в другое место, запаковать и отправить в вирлаб.
нет возможности ща этот комп к инету подключить...((((( »
Ну, здесь я никак не могу помочь подключить компьютер к интернету...

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Если что-то из этого не нужно, скажите, можно будет отключить скриптом.

Рекомендую установить WindowsXP SP3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) и все последующие обновления - http://windowsupdate.microsoft.com

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights (http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi) см. здесь (http://saule.sporaw.ru/library/droprights.html) и здесь (http://virusinfo.info/showthread.php?t=2852) или SanboxIE (http://www.sandboxie.com), пользоваться браузером Opera или Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865)
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем (http://forum.oszone.net/forum-20.html)
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor (http://www.belarc.com/free_download.html) доп. см. здесь (http://virusinfo.info/showthread.php?t=19517)
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI) (http://secunia.com/vulnerability_scanning/online/)
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.ru/),
Базовая концепция системы безопасности ОС Windows семейства NT (http://forum.freesoft.ru/index.php?showtopic=1274)
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ (http://www.z-oleg.com/secur/news/news1347.php)

этот файл с расширением js можете проверить на http://www.virustotal.com/ »
McAfee-GW-Edition 6.7.6 2009.04.16 Heuristic.HTML.Malware
остальные -

Если профиль используется »

как узнать что профиль используется?

то можно всю папку (вероятно в ней только один файл).»
в ней 13 папок и в корне 15 файлов...
Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! »
это домашний ПК ...

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) »
это я поотключаю...
>> Безопасность: к ПК разрешен доступ анонимного пользователя »
как это отключить?

остальные - »
3-ий раз рекомендую, отправьте файл в вирлаб.
как узнать что профиль используется? »
Спросите у того, кто использует и настраивал оперу, выше я рекомендовал 2 раза
перейти на Firefox c плагином NoScript »
как это отключить? »
Выполните в AVZ скрипт
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.

3-ий раз рекомендую, отправьте файл в вирлаб. »
так отправил уже...))

так отправил уже...)) »
Хорошо. По логам у вас в системе нет антивируса, рекомендую установить один из бесплатных антивирусов, см. Free Antivirus Software (http://www.geekstogo.com/forum/Free-Antivirus-Antispyware-Software-t38.html) и Выбор бесплатного антивируса (http://forum.oszone.net/thread-59932.html)

Pili,
Спасибо огромное!!!
как товарищ подлючится к инету сообщу о результате!
:oszone:

По логам у вас в системе нет антивируса, рекомендую установить один из бесплатных антивирусов »
я не хотел наперёд ставить...(чтоб не загружать систему)
ща уже поставил...
ещё раз спасибо огромное!!!

SANIOK_AV, пожалуйста :) После проверки, если проблема исчезла, можете отметить тему решенной.

Pili, там по логам C:\WINDOWS\vcdplayx.exe подозрительный мне кажется... »
Котяра,
Это
CD emulation part of GameDrive& VirtualDrive from Farstone. Not required as starting these programs load this automatically

SANIOK_AV, пожалуйста После проверки, если проблема исчезла, можете отметить тему решенной. »
по словам товарища вроди исчесла!!!!
ЕЩЁ РАЗ ОГРОМНОЕ СПАСИБО!!! :oszone:

SANIOK_AV, Пожалуйста. Если будут проблемы с вирусами, рады будем помочь :)

Товарищ говорит что в Фаерфоксе та же проблема осталась...
что сперва нужно сделать ? удаление фаерфокса....очистка временных файлов фаерфокса с помощью ATF-Cleaner .... установка фаерфокса?

SANIOK_AV, по логам AVZ никакого firefox у вас в системе не было, рекомендации поста 7 выполнялись? Firefox используется с плагином NoScript?
при подключении к интернету через некоторое время в браузере (у него Опера по умолчанию) появляется порнографическое окно »
Если проблема появляется только в опере, запустите оперу, далее Ctrl+F12-Дополнительно-Содержимое-Настроить JavaScript - папка пользовательских скриптов »
удаление фаерфокса....очистка временных файлов фаерфокса с помощью ATF-Cleaner .... установка фаерфокса? »
Да, если проблема осталась, сделайте новые логи с включенным браузером.

по логам AVZ никакого firefox у вас в системе не было »
да был вроди...
рекомендации поста 7 выполнялись? »
службы поостанавливал...шары убрал...автозапуск отключиил...и т.д....
067 обновление ОС установил... SP3 вот только не захотел устанавливаться...
Firefox используется с плагином NoScript? »
я тоже если честно понял что только в Опере проблема появлялась... :sorry:
оказывается и в FF

Цитата SANIOK_AV:
удаление фаерфокса....очистка временных файлов фаерфокса с помощью ATF-Cleaner .... установка фаерфокса? »
Да »
так ведь после удаления фаерфокса в atf-cleaner неактивно меню firefox...

если проблема осталась, сделайте новые логи с включенным браузером »
так комп не возле меня...((
может переустановкой фаерфокса обойдётся?