Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] При работе с Internet Explorer выскакивет рекламный банер сылкой на сайт.

Ответить
Настройки темы
[решено] При работе с Internet Explorer выскакивет рекламный банер сылкой на сайт.

Аватара для sztksales

Старожил


Сообщения: 328
Благодарности: 7

Профиль | Отправить PM | Цитировать


Изменения
Автор: sztksales
Дата: 14-01-2010
Добрый день хелперы.

У меня такая проблема.. При запуске Internet Explorer и работы с ним через какое то время постоянно выскакивает окошко - ссылка на сайт видеоскачивания фильмов...
Чуствую подцепил рекламный вирус сайта... Помогите мне избаиться от него.
P.S. Посмотрите может я еще чего подцепил на свою беду.... Буду ждать от вас ответа
С уважением.....

-------
Сервис Касперского по деактивации SMS вымогателей-блокеров


Отправлено: 12:26, 11-01-2010

 

Аватара для E-mpty

Старожил


Автор проектов


Сообщения: 430
Благодарности: 122

Профиль | Отправить PM | Цитировать


Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

http://virusnet.info/forum/showthread.php?t=10

Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL','');
 QuarantineFile('C:\TEMP\iexplore.exe','');
 QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\History\History.IE5\rssiexplore.exe','');
 QuarantineFile('C:\Program Files\Kinofilmoff.Net\Reklamer.exe','');
 QuarantineFile('c:\program files\kinofilmoff.net\reklamer.exe','');
 DeleteFile('c:\program files\kinofilmoff.net\reklamer.exe');
 DeleteFile('C:\Program Files\Kinofilmoff.Net\Reklamer.exe');
 DeleteFile('C:\Documents and Settings\Андрей\Local Settings\History\History.IE5\rssiexplore.exe');
 DeleteFile('C:\TEMP\iexplore.exe');
 DeleteFile('C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{1D868E7A-58F1-406A-A16A-BD32A5E369FD}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rssiexplore');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kinofilmoff.Net');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rssiexplorer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пофиксить в hijackthis:
http://virusnet.info/forum/showthread.php?t=9

Код: Выделить весь код
O3 - Toolbar: kinofilmoff.net 1.0 - {1D868E7A-58F1-406A-A16A-BD32A5E369FD} - C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL
O4 - HKCU\..\Run: [Kinofilmoff.Net] C:\Program Files\Kinofilmoff.Net\Reklamer.exe
O4 - HKCU\..\Run: [rssiexplore] C:\Documents and Settings\Андрей\Local Settings\History\History.IE5\rssiexplore.exe
O4 - HKCU\..\Run: [rssiexplorer] C:\TEMP\iexplore.exehttp://virusnet.info/forum/showthread.php?t=10
Повторите логи.

Отправлено: 14:15, 11-01-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для sztksales

Старожил


Сообщения: 328
Благодарности: 7

Профиль | Отправить PM | Цитировать


E-mpty, Спасибо, что откликнулись на мою беду...

Все сделал как Вы сказали, выставляю новые логи.

Что скажите...???

-------
Сервис Касперского по деактивации SMS вымогателей-блокеров


Последний раз редактировалось sztksales, 14-01-2010 в 18:22.


Отправлено: 16:40, 11-01-2010 | #3


Аватара для E-mpty

Старожил


Автор проектов


Сообщения: 430
Благодарности: 122

Профиль | Отправить PM | Цитировать


Выполните скрипт:
Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с программой АВЗ появится архив quarantine.zip
Полученный архив отправьте на newvirus@kaspersky.com с указанием пароля: virus в теле письма.

Эти IP вам знакомы: 213.158.7.2 212.48.193.37? Если они не ваши, то нужно пофиксить в hijackthis эту строку:
Код: Выделить весь код
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC2EE32D-7AEB-4004-9EE2-9505EB67F532}: NameServer = 213.158.7.2 212.48.193.37
Диск D: у вас флэшка или локальный?

Проверте еще этот файл: D:\INSTALL\GMSIPCI.SYS на virustotal

Кроме этого, больше ничего подозрительного не вижу... Что с проблемой?

Отправлено: 17:19, 11-01-2010 | #4


Аватара для sztksales

Старожил


Сообщения: 328
Благодарности: 7

Профиль | Отправить PM | Цитировать


E-mpty,

Я созвонился со своим провайдером интернет услуг и мы проверели эти IP номера - с ними все в порядке....
Отправил quarantine.zip на newvirus@kaspersky.com
Как придет ответ отпишусь.....

Диск D: - локальный(часть диска С)... На диске D я держу скаченные с торента программы, так что D:\INSTALL\GMSIPCI.SYS это прога инсталяции одной из программ...


HTML код: Выделить весь код
Что с проблемой?

Проблема решена!!!!! Вирус убит и мой компьютер по прежнему жужжит....

Спасибо огромное тебе E-mpty

-------
Сервис Касперского по деактивации SMS вымогателей-блокеров


Последний раз редактировалось sztksales, 11-01-2010 в 18:59.


Отправлено: 18:25, 11-01-2010 | #5


Аватара для E-mpty

Старожил


Автор проектов


Сообщения: 430
Благодарности: 122

Профиль | Отправить PM | Цитировать


Цитата sztksales:
Проблема решена!!!!! »
Рад за вас Осталось выполнить заключительные рекомендации:

Очистить и создать новую контрольную точку восстановления,
А. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
В. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Рекомендую для уменьшения риска заражения:
- Не работать за компьютером с правами администратора.
- Не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность, можно использовать Firefox c плагином NoScript или Opera.
- Регулярно устанавливать обновления windows и обновлять антивирусные базы.

Что из этого нужно?
Код: Выделить весь код
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Также обратите внимание:
Код: Выделить весь код
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

Отправлено: 23:04, 11-01-2010 | #6


Аватара для sztksales

Старожил


Сообщения: 328
Благодарности: 7

Профиль | Отправить PM | Цитировать


E-mpty, Добрый день!!!

Пришел ответ из лаборатории Касперского.
Вот что они пишут:

Код: Выделить весь код
Здравствуйте,


avz.cnt, avz.exe, avz.hlp, avz.url, backup.avz, bt.avz, exc.avz, extract.avz, keylogger.avz, krnldrv.avz, lang_en.avz, lang_ru.avz, main.avz, main001.avz, main002.avz, main003.avz, main004.avz, main005.avz, main006.avz, main007.avz, main008.avz, main009.avz, main010.avz, main011.avz, main012.avz, main013.avz, main014.avz, main015.avz, main016.avz, main017.avz, main018.avz, main019.avz, main020.avz, main021.avz, main022.avz, main023.avz, main024.avz, main025.avz, main026.avz, main027.avz, main028.avz, main029.avz, main030.avz, main031.avz, main032.avz, main033.avz, neural.avz, neurald.avz, neurale.avz, neuralm.avz, ports.avz, prt.avz, repair.avz, rootkit.avz, scripts.avz, scu.avz, signf001.avz, signf002.avz, signf003.avz, signf004.avz, signfusr.avz, sr.avz, srdb.avz, syscheck.avz, sysipu.avz, tsw.avz, version.txt

Вредоносный код в файлах не обнаружен.
E-mpty, Постараюсь по вашим рекомендациям исправить службы.
P.S. А можно вопрос? А не подскажите, есть ли такая возможность пригласить специалиста домой или привезти комп для профилактики компьютера из вашего форума...??? Уж очень нехочется приглашать спеца с фирмы (с улицы).... у них одно на уме, если чего то не получаеться - очистка диска и переустановка Windows.

-------
Сервис Касперского по деактивации SMS вымогателей-блокеров


Последний раз редактировалось sztksales, 12-01-2010 в 12:48.


Отправлено: 12:15, 12-01-2010 | #7


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать


Цитата sztksales:
А не подскажите, есть ли такая возможность пригласить специалиста домой или привезти комп для профилактики компьютера из вашего форума...??? »
В принципе можно, но при условии что нужный вам специалист живёт в одной стране и в одном с вами городе + согласится помочь вам оффлайн.

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif


Отправлено: 14:08, 12-01-2010 | #8


Аватара для sztksales

Старожил


Сообщения: 328
Благодарности: 7

Профиль | Отправить PM | Цитировать


Drongo, Добрый день.

А в Санкт Петербурге есть такие кулибины-хелперы?????
А то у меня есть несколько проблем небольших и хотелось бы живой консультации и помощи...

-------
Сервис Касперского по деактивации SMS вымогателей-блокеров


Отправлено: 14:21, 12-01-2010 | #9



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] При работе с Internet Explorer выскакивет рекламный банер сылкой на сайт.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Удалил рекламный банер, остались проблемы khs Лечение систем от вредоносных программ 2 04-12-2009 09:47
Ошибка - [решено] Internet explorer 6 вылетает при работе с https Batkom Microsoft Windows 2000/XP 6 02-09-2009 15:34
[решено] Рекламный банер в браузере с просьбой отправить СМС dic2009 Лечение систем от вредоносных программ 6 18-07-2009 04:44
Ошибка - [решено] Ошибка при печати из Internet Explorer 6 wwwlinkin Microsoft Windows 2000/XP 15 01-08-2008 21:37
Ошибка - [решено] Ошибка при запуске Internet Explorer Котяра Microsoft Windows 2000/XP 8 07-05-2008 23:32




 
Переход