» Порно баннер не закрывается

Здравствуйте форумчане!
Помогите пожалуйста.
Звонит ко мне вчера друг (он во Львове, а я от него в 60 км), и просит о помощи. Проблема у него такая: при загрузке рабочего стола (у него Windows XP SP3) появляется баннер с порно картинкой и вымагательством отправить смс, который невозможно удалить или передвинуть.

Где-то полгода назад у него уже была подобная проблема с браузером IE7, я ему тогда помог с помощью инета удалить эту проблему из реестра.

Что уже пробывал делать:
1. В автозагрузке у него пусто.
2. Через msconfig в автозагрузке отключал все - проблеме не помогло.
3. В папке application data нет ничего подозрительного (файлы blocker.exe и blocker.bin не найдены).
4. В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon C:\Windows\system32\userinit.exe, отображается правильно.
5. В процессах мне были неизвестны wmiapsrv.exe и ati2evxx.exe, но про них в инете ничего плохого не сказано.
6. В безопасный режим зайти он не может, я ему говорю F8 жать, а он говорит, что жмет, но винда в нормальном режиме все равно грузится.
7. С LiveCD большая проблема, ох, долго описывать. Вкратце - проги для записи іso у него нету и т.д. и т.п., но это я оставляю на крайний случай.

Может кто знает где искать в реестре. (думаю это самый легкий путь)

Мы по мобильному с ним общаемся. Так что уже чутарик подташнивает.
Последняя надежда на Вас!
Спасибо заранее.

makajaha
На этой странице http://forum.ru-board.com/topic.cgi?forum=62&topic=18156&start=60 мой пост #74 (где еще ссылка на avz указана) читайте, выполняйте, пришлите архивчик.

Если это тот вирус о котором я думаю то


Цитата:

Вариант в инете искать код разблокировки для вашего трояна, после введения которого он сам себя снесет, после ребута ессно.
Примеры (для Украина):
отправить смс на 4171 с текстом М20920007 - разблокировка = 486686664
отправить смс на 4171 с текстом M21120008 - разблокировка = 487786665

Запускает его файл C:\Windows\System32\sdra64.exe , который из-под винды найти не возможно (можно только с Live CD).

Кстати, здесь описано как сделать Live USB (8-й топик) http://forum.ru-board.com/topic.cgi?forum=62&topic=18922

01pump, Trrrbit большое спасибо, сейчас посмотрю.

Попробуйте запретить загрузку плагинов в настройках интернет эксплорера.

Загляни и сюда

Nikoderiko, vzar спасибо за отклик, буду читать и разбираться.

Такую бяку можно заполучить в любом браузере,, если покорно соглашаться с установкой незнакомых компонентов при посещени сайтов определённого содержания. Антивирусы не помогают, необходимо отключить надстройку браузера, которая маскируется под что-то нужное.
Как убрать в IE:
Сервис - Управление надстройками - Включение и отключение надстроек
Ищем надстройку (как правило, она притворяется видеокодеком), которой соответствует файл с именем, оканчивающимся на lib.dll, записываем имя файла.
Отключаем эту надстройку, перезапускаем IE.
Если "весёлая картинка" не пропала, отключаем следующую надстройку, перезапускаем IE, и так до победного конца.
Если пропала -ищем в \Windows\system32\ файл, имя которого мы записали и удаляем его.

Для тех, кто поймал такое в Опере или FF - алгоритм подобен, только в Опере еще нужно удалить путь к папке пользовательских файлов Javascript

Цитата:

Такую бяку можно заполучить в любом браузере,, если покорно соглашаться с установкой незнакомых компонентов при посещени сайтов определённого содержания. Антивирусы не помогают, необходимо отключить надстройку браузера, которая маскируется под что-то нужное.
....
Для тех, кто поймал такое в Опере или FF - алгоритм подобен, только в Опере еще нужно удалить путь к папке пользовательских файлов Javascript

Спасибо за отклик.
Я думаю, что проблема не в браузере, потомучто баннер появляется без запуска браузера, сразу после загрузки explorer.exe (панели задач и пуск меню).

Добавлено:
vzar, спасибо, но ни один скриншот не похож, разве что будет пробывать вставлять коды.

makajaha
Давно бы уже логи в avz сделали....

Если там такое


то точно читай мой пост

Цитата:

В автозагрузке у него пусто.

Стандартные средства многого в автозагрузке не видят, поэтому рекомендую воспользоваться специальными утилитами типа Autoruns, Process Explorer, Antivir Task Manager.

Подтверждаю сообщение Trrrbit -- помогает (для России 3649)

Olegbsss - не прокатит (запрет запуска любых прог, кроме ТотКома и то с руганью).
01pump - то же, а с лайф СД не видит.
vzar - не прокатит (запрет запуска любых прог). а на "сайте про такое не слышали" , Dr.Web LiveCD удаляет, но перезагрузка и .... все как было.
makajaha - доступ в систему закрыт на глухо и как то не удобно ковырятся в маленком кусочке доступного экрана.
Nikoderiko - доступ в систему закрыт на глухо

1Kipovec

Цитата:

то же, а с лайф СД не видит

кто и что не видит?

1Kipovec, если Вы про мою с другом проблему, то там все запускается, проблема одна - нет доступа к 1/3 экрана в центре рабочего стола, а так все работает.

Вчера мой друг пробывал по совету vzar вставлять все коды с сайта доквебера, но не получилось. Хотя Юра (друг мой) говорит, что когда он скопировал ссылку в скайпе и вставил в ІЕ, то баннер пропал на кокоето время, а потом опять появился. - Думаю ссылка на докторвеберский сайт тут не причем.

После я придумал - может отследить в диспечере какой процесс появляется при появление баннера, но Юра говорит что наоборот один процесс пропадает при появление баннера.

Дальше, Юра запал на идею проверить CureIt-ом, так как на сайте доктора обещали, что их прога поможет 100%. Но у Юры получалась загрузка с ftp доквебера. А за это время я уже пришел домой скачавши куреит и закачавши его на рапиду - не помогло, у него оказался динамический айпи и в то время уже кто-то качал с рапиды. Тогда я закачал на летитбит - и наконецто Юра скачал. Но было уже позновато и мне пришлось ложить детей спать, так что результатов я пока не знаю. Хотя сомневаюсь, что куреит помог, потому что у него стоит NIS2010, которым он проверил весь комп.

01pump извините, что не попробывал еще Ваш вариант, но вся проблема в том, что в этом варианте много заморочек, давать читать Юре это опасно, так как у него может возникнуть много вопросов, а у меня не было времени читать (работаю бухгалтером - работа не предсказуема), но сейчас буду читать, пока с утра есть время.

Хочу еще раз всем сказать спасибо за попытку помочь. Не ожидал, чесно говоря, такой инициативы.

Добавлено:
Trrrbit Ваш совет тоже не помог.

Olegbsss Ваш вариант попробуем после совета 01pump, который мне кажется самым подходящим.



Добавлено:

Цитата:

кто и что не видит?

- Мне кажется 1Kipovec имел ввиду ->
Цитата:

Запускает его файл C:\Windows\System32\sdra64.exe , который из-под винды найти не возможно (можно только с Live CD)

Цитата:

- Мне кажется 1Kipovec имел ввиду ->
Цитата:Запускает его файл C:\Windows\System32\sdra64.exe , который из-под винды найти не возможно (можно только с Live CD)

sdra64 в обычной винде виден как кусок угля на белой простыне

Цитата:

sdra64 в обычной винде виден как кусок угля на белой простыне

Осторожнее, можете обидеть человека, - он же хотел помочь и я ему благодарен, есть такие что смеются надо мной за такие вопросы, а помочь им лень или некогда.

открой реестр, попробуй найти следующее AdSubscribe
Если нашел, то удаляй эти ветки

p.s. у меня была такая же проблема, решил вышеуказанным действием

Цитата:

открой реестр, попробуй найти следующее AdSubscribe
Если нашел, то удаляй эти ветки

p.s. у меня была такая же проблема, решил вышеуказанным действием

Большое спасибо за отклик, но мой друг преподает в институте, так что про пробы решения проблемы напишу после обеда.

01pump я по поводу avz (как не старайся, ни чего не запускается). а с лайфсд как впрочем и с компа с обновленными база ни черта не находит, типа все ОК.

Короче рабочий стол без фишечек и рюшечек, доступа в винду (диспетчер задач и т.д.) нет, Админский пороль заменен(убит). Вобщем полный анус. Не запускается ни ехе, ни сом ничего.
ВебинаЛайф его(sdra64.exe ) убивает, до перезагрузки.

р.с. На форуме (от АВЗ) читал и делал как советуют - не помогло.

1Kipovec
У вашего LiveCD доступ к удаленному реестру есть? Запуск прог под удаленным реестром возможен?

1Kipovec я так понял у нас разные проблемы, Вы опишите свою подробнее, может форумчане скорее помогут.



Добавлено:
Баннер удален.
Мой друг говорит, что после проверки всего компа cureit! нашел вирус в файле L32.dll, удалив файл и перезагрузив комп баннер исчез и не надоедал до сих пор. Надеюсь больше не будет надоедать, а всем Вам учасникам моей темы - ОГРОМНОЕ СПАСИБО за советы и поддержку.
Есил вдруг он появится - обезательно тут отпишу.

А у меня проблема решена путем ввода кода