Показать полную графическую версию : Рекламный баннер замучал
Здравствуйте.
У меня такая проблем. После очередного посещения интернет после перезагрузки пк начал появляться рекламный баннер почти на весь экран, поверх всех окон .
На баннере есть кнопка закрыть после нажатия на кнопку начинается 30 секундный отсчет после чего он закрывается, примерно через пять минут повторяется все опять.
Читал статьи на вашем форуме следовал инструкциям но все впустую.
Помогите.
Внимание !!! База поcледний раз обновлялась 18.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)Обновите базы AVZ. Сделайте новые логи
iskander-k
04-11-2009, 00:52
следовал инструкциям но все впустую. »
Инструкции данные другим пользователям - выполнять не рекомендуется . От этого будет только хуже.
iskander-k
04-11-2009, 01:53
Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
• Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.
* Подробнее можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.
• Сохраните реестр:
Скачайте ERUNT (http://www.geekstogo.com/forum/index.php?autocom=downloads&showfile=113), установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\EL32.dll','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
QuarantineFile('explorer.exe,C:\RECYCLER\S-1-5-21-5838400253-1717173393-621254452-2552\winmap.exe','');
DeleteFile('explorer.exe,C:\RECYCLER\S-1-5-21-5838400253-1717173393-621254452-2552\winmap.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\WINDOWS\system32\EL32.dll');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). Результаты ответа, сообщите здесь, в теме.
• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
после сделайте новые логи.
Спасибо большое! Зловещий баннер больше не показывается.
Выполнил все ваши инструкции за исключением ( В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.) Выполнял все по инструкции запустил скрипт(01f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll)
Причина в том что я не могу найти файл quarantine.zip. Где именно он формируется. (возможно я что то не понял или не дочитал)
Вот новые лог файлы.
Предыдущий карантин ищите в папке с AVP Tool, если скрипт выполняли в нем
Выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-5838400253-1717173393-621254452-2552\winmap.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5838400253-1717173393-621254452-2552\winmap.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. Компьютер перезагрузится.
Выполнить скрипт
begin
CreateQurantineArchive('c:\quarantine.zip');
end.c:\quarantine.zip отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.
Сделайте новые логи
C:\WINDOWS\explorer.exe проверьте на virustotal (http://www.virustotal.com/ru) Ссылку на результат проверки сообщите
Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\EL32.bak');
QuarantineFile('C:\WINDOWS\system32\syschk32.exe','');
DeleteFile('C:\WINDOWS\system32\syschk32.exe');
DeleteFile('C:\Windows\Tasks\System Check.job');
DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Dr.Web Engine','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end. Компьютер перезагрузится.
Выполнить скрипт в AVZ.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.
Сделайте новые логи
Ссылка с virustotal http://www.virustotal.com/ru/analisis/cb67518b8a505ac6972aea666991c922f0d9efecab14ba3f9232449918dad97f-1235233905
У меня такой вопрос. Вы в своем сообщении пишите "quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.". Я все так и делаю только ответа с newvirus@kaspersky.com я не получал. Как быстро они присылают ответ.
Новые логи.
%u041A%u0430%u043A %u0431%u044B%u0441%u0442%u0440%u043E %u043E%u043D%u0438 %u043F%u0440%u0438%u0441%u044B%u043B%u0430%u044E%u0442 %u043E%u0442%u0432%u0435%u0442. %u00BB%u0421%u0443%u0442%u043A%u0438, %u043C%u0430%u043A%u0441%u0438%u043C%u0443%u043C - %u0434%u0432%u043E%u0435.
Как быстро они присылают ответ. »Сутки, максимум - двое.
Ссылка с virustotal http://www.virustotal.com/ru/analisi...97f-1235233905 »Ссылка от февраля. Нужно выбрать Проверить заново
virustotal (http://www.virustotal.com/ru/analisis/cb67518b8a505ac6972aea666991c922f0d9efecab14ba3f9232449918dad97f-1257501167)
Ответ с newvirus@kaspersky.com
explorer.exe_,
F5BA1FED.exe_,
F5BA1FED.exe_1,
F5BA1FED.exe_2
No malicious code were found in these files.
syschk32.exe_ - Trojan.Win32.Inject.alcg
This file is already detected. Please update your antivirus bases.
Please quote all when answering.
The answer is relevant to the latest bases from update sources.
>
>
Please quote all when answering.
-----------------
Regards, Davidow Dmitriy
Virus Analyst, Kaspersky Lab.
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com
Больше ничего плохого не нахожу
Спасибо большое. Вы мне очень помогли.
Здравствуйте. Як вам обращался с подобной проблемой вы мне помогли все работало нормально. А сейчас подобная проблема повторилась. После загрузки системы выпрыгивает баннер с сообщением отправить смс на номер ....... он не сдвигается блокирует диспетчер задач. Получилось его убрать таким способом (при возникновении этой проблемы я пытался установить утилиту spybotsd162.exe но подтвердить ее установку не смог так как окно подтверждения оказалось под баннером после чего я попросил АВАСТ выполнить проверку во время загрузки системы и когда АВАСТ начинает выполнять перезагрузку баннер закрывается а система остается запущенной после чего с помощью АВЗ удается разблокировать диспетчер. Я сделал логи. Буду очень благодарен если вы дадите мне совет как надежнее защитить ПК от вредоносного ПО Я ипользую АВАСТ прф. каждый день обновляю базу. а как надоели меня эти порно сайты которые постоянно сами загружаются. ПОМОГИТЕ!
Здравствуйте, AVZ - меню - файл - выполнить скрипт, скопируйте текст ниже и нажмите выполнить:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\kui126.tmp','');
DeleteFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\kui126.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(14);
RebootWindows(true);
end.
Компютер перезагрузится, выполните следующий скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке где находится программа AVZ, будет создан архив quarantine.zip, вышлите архив quarantine.zip на mailto:newvirus@kaspersky.com. Сообщите результаты ответа здесь.
Пофиксить (http://virusnet.info/forum/showthread.php?t=9) в HiJackThis следующие строки:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\9335~1\LOCALS~1\Temp\kui126.tmp
Этот IP 213.179.249.133 212.113.36.14 вам знаком? Если нет, то также пофиксить и эту строку:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7C5C2A0-DB8E-420A-BB06-E2B4BD53E8C5}: NameServer = 213.179.249.133 212.113.36.14
Повторите логи.
+ к предыдущим рекомендациям
Пофиксите в HiJack
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\9335~1\LOCALS~1\Temp\kui126.tmp
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Сделайте новые логи
Пока редактировал свое сообщение, здесь уже все добавили :)
После выше указанных операций, проверте компютер с помощю Malwarebytes' Anti-Malware:
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Malwarebytes' Anti-Malware 1.37
Версия базы данных: 2182
Windows 5.1.2600 Service Pack 2
03.11.2009 18:43:21
mbam-log-2009-11-03 (18-43-21).txt
Тип проверки: Быстрая
Проверено объектов: 81928
Прошло времени: 3 minute(s), 11 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 2
Заражено значений реестра: 0
Заражено параметров реестра: 3
Заражено папок: 1
Заражено файлов: 1
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> Quarantined and deleted successfully.
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Заражено папок:
c:\documents and settings\Администратор\Application Data\FieryAds (Adware.FieryAds) -> Quarantined and deleted successfully.
Заражено файлов:
c:\documents and settings\Администратор\Application Data\fieryads.dat (Adware.FieryAds) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.37
Версия базы данных: 2182
Windows 5.1.2600 Service Pack 2
03.11.2009 18:55:27
mbam-log-2009-11-03 (18-55-27).txt
Тип проверки: Быстрая
Проверено объектов: 80843
Прошло времени: 2 minute(s), 23 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
(Вредоносные программы не обнаружены)
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
(Вредоносные программы не обнаружены)
Malwarebytes' Anti-Malware 1.37
Версия базы данных: 2182
Windows 5.1.2600 Service Pack 2
03.11.2009 19:02:50
mbam-log-2009-11-03 (19-02-50).txt
Тип проверки: Быстрая
Проверено объектов: 81915
Прошло времени: 3 minute(s), 9 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
(Вредоносные программы не обнаружены)
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
(Вредоносные программы не обнаружены)
Malwarebytes' Anti-Malware 1.43
Версия базы данных: 3458
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13
03.01.2010 14:03:55
mbam-log-2010-01-03 (14-03-55).txt
Тип проверки: Полная (C:\|)
Проверено объектов: 237620
Прошло времени: 49 minute(s), 4 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 3
Заражено значений реестра: 0
Заражено параметров реестра: 3
Заражено папок: 0
Заражено файлов: 2
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
C:\WINDOWS\system32\drivers\30007211.sys (Rootkit.Agent.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\CDClose.dll (Malware.Packer) -> Quarantined and deleted successfully.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.