Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Рекламный рисунок от ImageShack (http://forum.oszone.net/showthread.php?t=200877)

Stepbol 02-03-2011 05:20 1625021
Рекламный рисунок от ImageShack
 
Вложений: 1
Просматривая различные форумы, заметил, что на некоторых, у пользователей, вместо подписи (юзербара) отображается изображение. Изображение Лягушка, вот еще на форуме см. пост #1 являющееся логотипом (имхо) сайта ImageShack. Думаю, что эти изображения являются рекламными. Сделанные логи прилагаю.
зы. Dr.Web CuerIt! Вирусы не определил.

Coutty 02-03-2011 06:48 1625032
Несколько дней назад в новостях писали, что в ImageShack приняли решение отключить отображение рисунков на т.н. "незарегистрированных доменах", а вместо них показывают свою рекламку. Причём в США, говорят, всё работает как надо.
Этим они хотят заставить пользователей зарегистрироваться на их сайте. Зарегистрированным вроде как разрешено размещать картинки на сайтах напрямую.
Или домены нужно регистрировать. Короче, какая-то мутная ситуация...

Почитайте подробнее: http://www.techlineinfo.com/now-imag...tered-domains/ (на английском, правда, но можно и переводчиком воспользоваться).

SolarSpark 02-03-2011 09:41 1625122
смотрю

SolarSpark 02-03-2011 09:57 1625133
в AVZ чисто и придраться не к чему, разве что Ask Toolbar и то, он у вас неживой, а потому

Обновляем Internet Explorer до IE8 в обязательном порядке для вашей же безопасности. Даже,если им не пользуетесь!

Следим за своевременными обновлениями Java

Пофиксить в HijackThis следующие строчки:
Код:
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: PandoraTV Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
ну и для контроля выполните проверку
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

и вот еще вопрос

F:\INSTALL\GMSIPCI.SYS этот файлик найдите ручками и проверьте на http://www.virustotal.com
ссылку на результат запостите сюда
и что за папка C:\WINDOWS\system32\D? на нее ссылаются практически все ваши службы драйверов

SolarSpark 02-03-2011 11:18 1625202
Запустите HiJackThis и проведите процедуру сканирования заново, после чего установите галочки на
Код:
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: PandoraTV Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
, проверьте, не пропустили ли вы строки. И нажмите кнопку Fix checked

Stepbol 02-03-2011 12:19 1625259
Цитата:
Цитата maniy77
Обновляем Internet Explorer до IE8 в обязательном порядке для вашей же безопасности. »
Лезет девятая версия, а я ее не хочу. Можно позже закачаю v8.
Цитата:
Цитата maniy77
Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. »
Сделал.
Цитата:
Цитата maniy77
Запустите HiJackThis и проведите процедуру сканирования заново, после чего установите галочки на »
Сделал
Цитата:
Цитата maniy77
F:\INSTALL\GMSIPCI.SYS этот файлик найдите ручками и проверьте »
F- DVD-привод PHILIPS "скрин ДискF", диска в приводе небыло (100проц)
Цитата:
Цитата maniy77
что за папка C:\WINDOWS\system32\D? на нее ссылаются практически все ваши службы драйверов »
Такой папки D нет.

SolarSpark 02-03-2011 12:46 1625287
Систему поверх не накатывали?
в мбам чисто

Stepbol 02-03-2011 12:51 1625291
Цитата:
Цитата maniy77
Систему поверх не накатывали?
в мбам чисто »
нет, как пере установил в начале января с.г. и все.

SolarSpark 02-03-2011 12:59 1625297
методом форматирования диска?

Stepbol 02-03-2011 13:31 1625317
я всегда форматирую диск (быстрое) во время переустановки винды.

SolarSpark 02-03-2011 14:05 1625342
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('F:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\system32\h323log.txt','');
QuarantineFile('C:\WINDOWS\SET8.tmp','');
QuarantineFile('C:\WINDOWS\SET4.tmp','');
QuarantineFile('C:\WINDOWS\SET3.tmp','');
DeleteFile('C:\WINDOWS\SET3.tmp');
DeleteFile('C:\WINDOWS\SET4.tmp');
DeleteFile('C:\WINDOWS\SET8.tmp');
DeleteFile('C:\WINDOWS\system32\h323log.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте
c:\quarantine.zip при помощи этой
повторите лог RSIT

Stepbol 02-03-2011 16:33 1625489
Цитата:
Цитата maniy77
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. »
После выполнения скрипта, выпало окно информации "Скрипт выполнен без ошибок". Я нажал ОК (перезагрузки не было)
Цитата:
Цитата maniy77
Отправьте
c:\quarantine.zip при помощи этой »
Отправил. Была инфа, ждать сообщение на мыло.
Цитата:
Цитата maniy77
повторите лог RSIT »
Сделал.

SolarSpark 02-03-2011 16:36 1625495
Цитата:
Цитата Stepbol
Сделал. »
нет, вы сделали лог MBAM
проблема осталась?

Stepbol 02-03-2011 17:52 1625569
Цитата:
Цитата maniy77
нет, вы сделали лог MBAM »
Прикрепил файл RSIT
Цитата:
Цитата maniy77
проблема осталась? »
да, проблема осталась. Дальнейший поиск решения проблемы - на ваше усмотрение.

SolarSpark 02-03-2011 17:57 1625575
Думается мне, что проблема не в заражении.

Stepbol 02-03-2011 18:34 1625603
Цитата:
Цитата Coutty
Почитайте подробнее: »
читал здесь, правда не очень понял, но проблема у не русских вроде не решилась. Утро вечера будунее :) - если будут мысли, пишите, предлагайте. Я пока ничего убирать не стану, т.к. сильно не напрягает. Спасибо. До свидания.

SolarSpark 03-03-2011 08:38 1626039
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Stepbol 03-03-2011 13:30 1626257
Цитата:
Цитата maniy77
Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению »
Программа выполнила 50 шагов по сканированию системы, но лог-файл не создала, вместо этого выпало окно об ошибке, с просьбой отправить в майкрософт. Я сделал откат до скачивания ComboFix, но наверное поспешил. Что скажите?

SolarSpark 03-03-2011 16:13 1626398
Давайте тогда так

Скачайте сканер OTL by oldtimer или OTL.com и сохраните файл на вашем рабочем столе.

Запустите программу сделав двойной щелчок мыши.

Сделайте настройки программы согласно изображения ниже:



В окно с скопируйте следующую информацию:


Код:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
beep.sys
explorer.exe
svchost.exe
userinit.exe
symmpi.sys
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
ntfs.sys
tcpip.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
srsvc.dll
adp3132.sys
mv61xx.sys
/md5stop
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
Нажмите на кнопку
После завершения проверки, будут созданы два файла - OTL.txt и Extras.txt. Эти файлы необходимо прикрепить к своему следующему посту

Stepbol 03-03-2011 18:07 1626502
Вложений: 2
Цитата:
Цитата maniy77
Эти файлы необходимо прикрепить к своему следующему посту »
Прикрепил

SolarSpark 04-03-2011 10:10 1626991
ПО для Samsung-а устанавливали?
Код:
C:\WINDOWS\system32\FsUsbExDisk.Sys
C:\WINDOWS\System32\FsUsbExDevice.Dll
C:\WINDOWS\system32\FsUsbExService.Exe
проверьте эти файлы на http://www.virustotal.com
ссылку на проверку запостите сюда

ничего плохого, кроме Internet Explorer (Version = 6.0.2900.5512), не вижу

ажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Stepbol 04-03-2011 18:58 1627322
Цитата:
Цитата maniy77
ПО для Samsung-а устанавливали? »
Да, устанавливал, но после установки - проблемы которую решаем сейчас, не было.
Цитата:
Цитата maniy77
ничего плохого, кроме Internet Explorer (Version = 6.0.2900.5512), не вижу »
После вашего резюме, установлю v 8, если квакша исчезнет, дам знать.
Цитата:
Цитата maniy77
ажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" »
Сделал.
Цитата:
Цитата maniy77
Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up »
Сделал.
Цитата:
Цитата maniy77
Код:
C:\WINDOWS\system32\FsUsbExDisk.Sys
C:\WINDOWS\System32\FsUsbExDevice.Dll
C:\WINDOWS\system32\FsUsbExService.Exe
проверьте эти файлы на http://www.virustotal.com
ссылку на проверку запостите сюда »
Правильно или нет, не знаю: 1. FsUsbExDevice.Dll 2. FsUsbExDisk.Sys 3. FsUsbExService.Exe

SolarSpark 04-03-2011 19:23 1627340
Цитата:
Цитата Stepbol
Правильно или нет, не знаю »
Благодарю вас,файлы чистые..
выполняйте рекомендацию по обновлению IE


Время: 05:42.

Время: 05:42.
© OSzone.net 2001-