Внимание!!! "рекламная пауза"
 

Не открываются страницы вконтакте и мейл.ру,при попытке их открытия появляется сообщение Внимание!"рекламная пауза" и рекламный баннер,дальше инструкции,но толку от их выполнения нет,все повторяется.Я сделала все,что указано в разделе "лечение систем от вредноносных программ",но проблема осталась-теперь нет ни рекламы,ни указаний,просто пустая страница!

Выполните скрипт в AVZ:
После этого появится файл quarantine.zip. Его выслать на koshkin@rbcmail.ru
Сайт 24w.ru сами ставили на стартовую?
Если нет, то пофиксите в HijackThis:
Нужны ли Вам эти ссылки:
Нет? Пофиксите тогда.

acid_vision, Здавствуйте. Добавлю к предыдущему посту.
У вас 2 антивируса, ESET NOD32 и по логам ещё DrWeb, оставьте один.
см. Антивирусы - Как правильно удалить Антивирус(Ы) из системы
Чистка системы после некорректного удаления антивируса

Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) и проверьте на http://www.virustotal.com/ или http://virscan.org/ файлы:
Результаты проверки выложите в сообщение или дайте на них ссылку.

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Сделайте новые логи.

Ссылки на результаты проверки файлов на http://www.virustotal.com/:

1.http://www.virustotal.com/ru/analisi...95b988c738615b
2.http://www.virustotal.com/ru/analisi...46ee64e64960b6
3.http://www.virustotal.com/ru/analisi...92054d53311e3a
4.http://www.virustotal.com/ru/analisi...46bd4264c124a5

acid_vision, SiteAccess.dll - http://www.virustotal.com/ru/analisi...a23af91c89c3e6
Плагин какой-то вирусный. Его уже у Вас нет.
Так у Вас vkontakte.ru заработал?

Котяра, нет,не заработал к сожалению...=((и мейл.ру тоже

Найдите файл C:\WINDOWS\system32\drivers\etc\hosts Жмите правой кнопкой на него > Открыть с помощью, выбираете блокнот и заменяете весь текст на


Для общего развития:

В этом файле URL'у можно сопоставить любой IP-адрес. У вас сейчас там миллиону сайтов указан ваш внутренний IP-адрес. Т.е. когда вы набираете www.vkontakte.ru, mail.ru, icq.com или любой из тех, что указаны у вас в этом файле, браузер заходит не на сервер в интернете, а пытается найти его на 127.0.0.1 т.е. у вас на компе. Раньше когда у вас был вирус он запускал мини сервер, заходя на сайт вы перенаправлялись на него. Вирус удалили, а следы остались.

Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.

add: не заметил, извиняюсь

CaminoDeFlores, hosts уже очищался в скрипте командой ClearHostsFile

acid_vision, Выполните в AVZ скрипт
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите, можете отправить также в вирлаб DrWeb
AVPTool можете удалить
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
Базы МВАМ можно обновить отдельно - downloading the update MBAM

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Cкачайте полиморфный AVZ, переименованный в game.pif здесь, сохраните в отдельную папку и запустите. Обновлять антивирусные базы для этой версии не требуется.
Сделайте новые логи полиморфным AVZ virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и лог hijackthis

Pili

Malwarebytes' Anti-Malware 1.36
Версия базы данных: 2162
Windows 5.1.2600 Service Pack 3

21.05.2009 17:31:16
mbam-log-2009-05-21 (17-31-16).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 166101
Прошло времени: 1 hour(s), 8 minute(s), 55 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 7
Заражено значений реестра: 0
Заражено параметров реестра: 3
Заражено папок: 0
Заражено файлов: 6

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uti3otqy (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\uti3otqy (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\uti3otqy (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP637\A0161225.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP638\A0161335.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP638\A0161343.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP639\A0161442.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP639\A0161498.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\uti3otqy.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.

acid_vision, ждем остальные логи.

логи

acid_vision, по логам есть следы Dr.Web и AntiVir. У Вас оба стоят?

Котяра,я удалила Dr.Web и Eset Nod32 и установила AntiVir...но Dr.Web наверно как-то не так,раз он еще где-то фигурирует????

Pili


Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите, можете отправить также в вирлаб DrWeb

ответ:Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

Для удаления Dr.web воспользуйтесь утилитой

akok,спасибо!!

Давайте еще посмотрим:
Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение.

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

Очень похоже что блокируется запись в реестре и изменение hosts файла. Вы защитное ПО отключали на время выполнения скрипта?
У вас Avira и DrWeb активны, есть ещё Spybot - Search & Destroy (и в нем teatimer - отключите временно), в Avira в настройках не установлена защита hosts файла? Если да -отключите.
Нажмите пуск - выполнить - скопируйте в строчку
и нажмите enter
Файл c:\windows\RiiQ.exe проверьте на virustotal.com и дайте ссылку на результат проверки.
Отключите защитное ПО и выполните скрипт в AVZ
Отключите автозапуск
Распакуйте файл AutorunDisabled.zip и примените reg файл

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

В AVZ включите AVZM (см. правила) и сделайте новый лог virusinfo_syscheck.zip

не поняла куда это копировать???

c:\windows\RiiQ.exe я попыталась проверить этот файл,но в этот же момент антивирус выдал,что это файл может нанести вред,я его отправила в карантин,попробовла еще раз проверить на virustotal.com,но там какая-то ошибка,а сейчас файла вообще нет в папке windows...

Нажмите кнопку Пуск - выберите пункт Выполнить - вставьте указанную Вам строку

Поищите в карантине антивируса. Кстати как он назвал файл?

(система на методику не влияет)



Вот как-то так :)

akok,

RiiQ.exe так и назвал,а я удалила его из карантина и установила рускоязычную версию антивируса

не получается скачать,скорость закачки постепенно доходит до 0,1...а с зеркала открывается страница с иероглифами какими-то...

Pili, логи

Деинсталируйте Spybot - Search & Destroy

acid_vision, TeaTimer в Spybot - Search & Destroy отключали? Похоже нет, т.к. в реестр изменения не внеслись и hosts файл не изменился. Если не знаете как отключить teatimer, деинсталлируйте Search & Destroy
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите CleanUp!

Проверьте ещё файл c:\windows\system32\drivers\EKBfltr.sys нв virustotal.com

Скачайте HostsXpert
Распакуйте в папку C:\HostsXpert
Запустите HostsExpert.exe, выберите "File Handling" и нажмите 'Restore MS Hosts file' и нажмите OK.
Нажмите на "Make Read Only?", закройте программу.
Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Проверьте наличие записей в файле C:\WINDOWS\system32\drivers\etc\hosts и наличие проблемы

Если проблема останется:
Скачайте Lop S&D
Запустите Lop S&D и выберите Option 2 (Fix + Hosts)
Не закрывайте окно в течение работы Lop S&D!
После окончания сканирования скопируйте текст из файла C:\lopR.txt в сообщение или запакуйте файл и вложите в сообщение

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите: Scan All Users, Minimal Output, File Age: 30 Days, поставьте галочку LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

я удалила его из program files,в установке и удалении программ его нет,откуда еще удалять-то???

Как выключить Spybot TeaTimer
Avira отключали?

Avira отключала,точно!
HostsXpert помог,в C:\WINDOWS\system32\drivers\etc\hosts нет записей,вконтакте заработал,мейл.ру тоже)))))))))

http://www.virustotal.com/ru/analisi...c61-1242987963

acid_vision, файл EKBfltr.sys чист. Очень странно, что AVZ не отрабатывал и не чистил hosts файл.
SpyBot можете теперь обратно поставить, полезная программа )
В завершение.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов и перезагрузите компьютер или выполните скрипт
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Firefox c плагином NoScript и AdBlock Plus
Рекомендую также использовать McAfee SiteAdvisor
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI)
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ
Чистого вам интернета!

спасибо огромное!!!!!!!!!!!!!а opera тоже плохо???

acid_vision, нет, но в Опере нет такого прекрасного инструмента, как NoScript и ещё в этом разделе было несколько случаев, когда вредоносный js (порноплагин) устанавливается в папку пользовательских скриптов оперы.
Вообще по теме браузеров вам лучше обратится в тему Opera 9, Mozilla FireFox

обязательно обращусь,еще раз спасибо,я не думала,что можно решить проблему не отдавая куда-либо компьютер)))))

acid_vision, пожалуйста :) Рекомендации из поста 28 рекомендую не игнорировать, если настроите безопасность - уменьшите риск заражения.

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил