Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Рекламный баннер замучал (http://forum.oszone.net/showthread.php?t=155705)

artcdi 04-11-2009 00:24 1260944
Рекламный баннер замучал
 
Вложений: 1
Здравствуйте.
У меня такая проблем. После очередного посещения интернет после перезагрузки пк начал появляться рекламный баннер почти на весь экран, поверх всех окон .
На баннере есть кнопка закрыть после нажатия на кнопку начинается 30 секундный отсчет после чего он закрывается, примерно через пять минут повторяется все опять.
Читал статьи на вашем форуме следовал инструкциям но все впустую.
Помогите.

thyrex 04-11-2009 00:35 1260951
Цитата:
Внимание !!! База поcледний раз обновлялась 18.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы AVZ. Сделайте новые логи

iskander-k 04-11-2009 00:52 1260963
Цитата:
Цитата artcdi
следовал инструкциям но все впустую. »
Инструкции данные другим пользователям - выполнять не рекомендуется . От этого будет только хуже.

artcdi 04-11-2009 01:02 1260973
Вложений: 2
Вот новый лог.Сори

iskander-k 04-11-2009 01:53 1260995
  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Сохраните реестр:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\EL32.dll','');
 QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
 QuarantineFile('explorer.exe,C:\RECYCLER\S-1-5-21-5838400253-1717173393-621254452-2552\winmap.exe','');
 DeleteFile('explorer.exe,C:\RECYCLER\S-1-5-21-5838400253-1717173393-621254452-2552\winmap.exe');
 DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
 DeleteFile('C:\WINDOWS\system32\EL32.dll');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
 DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.



HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
после сделайте новые логи.

artcdi 04-11-2009 10:36 1261184
Вложений: 2
Спасибо большое! Зловещий баннер больше не показывается.
Выполнил все ваши инструкции за исключением ( В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.) Выполнял все по инструкции запустил скрипт(01f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll)

Причина в том что я не могу найти файл quarantine.zip. Где именно он формируется. (возможно я что то не понял или не дочитал)

Вот новые лог файлы.

thyrex 04-11-2009 11:51 1261266
Предыдущий карантин ищите в папке с AVP Tool, если скрипт выполняли в нем

Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-5838400253-1717173393-621254452-2552\winmap.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5838400253-1717173393-621254452-2552\winmap.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

artcdi 05-11-2009 14:24 1262330
Вложений: 2
Новые логи.

thyrex 05-11-2009 19:37 1262592
C:\WINDOWS\explorer.exe проверьте на virustotal Ссылку на результат проверки сообщите

Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\EL32.bak');
QuarantineFile('C:\WINDOWS\system32\syschk32.exe','');
 DeleteFile('C:\WINDOWS\system32\syschk32.exe');
DeleteFile('C:\Windows\Tasks\System Check.job');
DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Dr.Web Engine','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

artcdi 05-11-2009 20:51 1262667
Вложений: 2
Ссылка с virustotal http://www.virustotal.com/ru/analisi...97f-1235233905

У меня такой вопрос. Вы в своем сообщении пишите "quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.". Я все так и делаю только ответа с newvirus@kaspersky.com я не получал. Как быстро они присылают ответ.

Новые логи.

Drongo 05-11-2009 21:24 1262691
Цитата:
Цитата artcdi
%u041A%u0430%u043A %u0431%u044B%u0441%u0442%u0440%u043E %u043E%u043D%u0438 %u043F%u0440%u0438%u0441%u044B%u043B%u0430%u044E%u0442 %u043E%u0442%u0432%u0435%u0442. %u00BB
%u0421%u0443%u0442%u043A%u0438, %u043C%u0430%u043A%u0441%u0438%u043C%u0443%u043C - %u0434%u0432%u043E%u0435.

Цитата:
Цитата artcdi
Как быстро они присылают ответ. »
Сутки, максимум - двое.

thyrex 05-11-2009 23:27 1262795
Цитата:
Цитата artcdi
Ссылка от февраля. Нужно выбрать Проверить заново

artcdi 06-11-2009 13:01 1263126
virustotal
Ответ с newvirus@kaspersky.com
explorer.exe_,
F5BA1FED.exe_,
F5BA1FED.exe_1,
F5BA1FED.exe_2

No malicious code were found in these files.

syschk32.exe_ - Trojan.Win32.Inject.alcg

This file is already detected. Please update your antivirus bases.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.


>
>
Please quote all when answering.
-----------------
Regards, Davidow Dmitriy
Virus Analyst, Kaspersky Lab.
10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com

thyrex 06-11-2009 13:27 1263136
Больше ничего плохого не нахожу

artcdi 06-11-2009 21:59 1263517
Спасибо большое. Вы мне очень помогли.

artcdi 02-01-2010 10:59 1309011
Вложений: 3
Здравствуйте. Як вам обращался с подобной проблемой вы мне помогли все работало нормально. А сейчас подобная проблема повторилась. После загрузки системы выпрыгивает баннер с сообщением отправить смс на номер ....... он не сдвигается блокирует диспетчер задач. Получилось его убрать таким способом (при возникновении этой проблемы я пытался установить утилиту spybotsd162.exe но подтвердить ее установку не смог так как окно подтверждения оказалось под баннером после чего я попросил АВАСТ выполнить проверку во время загрузки системы и когда АВАСТ начинает выполнять перезагрузку баннер закрывается а система остается запущенной после чего с помощью АВЗ удается разблокировать диспетчер. Я сделал логи. Буду очень благодарен если вы дадите мне совет как надежнее защитить ПК от вредоносного ПО Я ипользую АВАСТ прф. каждый день обновляю базу. а как надоели меня эти порно сайты которые постоянно сами загружаются. ПОМОГИТЕ!

E-mpty 02-01-2010 12:22 1309058
Здравствуйте, AVZ - меню - файл - выполнить скрипт, скопируйте текст ниже и нажмите выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\kui126.tmp','');
 DeleteFile('C:\Documents and Settings\Администратор\Cookies\userlib.dll');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\kui126.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(14);
RebootWindows(true);
end.
Компютер перезагрузится, выполните следующий скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке где находится программа AVZ, будет создан архив quarantine.zip, вышлите архив quarantine.zip на mailto:newvirus@kaspersky.com. Сообщите результаты ответа здесь.

Пофиксить в HiJackThis следующие строки:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\9335~1\LOCALS~1\Temp\kui126.tmp
Этот IP 213.179.249.133 212.113.36.14 вам знаком? Если нет, то также пофиксить и эту строку:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7C5C2A0-DB8E-420A-BB06-E2B4BD53E8C5}: NameServer = 213.179.249.133 212.113.36.14
Повторите логи.

thyrex 02-01-2010 12:23 1309059
+ к предыдущим рекомендациям

Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\9335~1\LOCALS~1\Temp\kui126.tmp
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present


Сделайте новые логи

E-mpty 02-01-2010 12:50 1309071
Пока редактировал свое сообщение, здесь уже все добавили :)

После выше указанных операций, проверте компютер с помощю Malwarebytes' Anti-Malware:
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

artcdi 02-01-2010 16:06 1309174
Вложений: 3
Malwarebytes' Anti-Malware 1.37
читать дальше »
Версия базы данных: 2182
Windows 5.1.2600 Service Pack 2

03.11.2009 18:43:21
mbam-log-2009-11-03 (18-43-21).txt

Тип проверки: Быстрая
Проверено объектов: 81928
Прошло времени: 3 minute(s), 11 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 2
Заражено значений реестра: 0
Заражено параметров реестра: 3
Заражено папок: 1
Заражено файлов: 1

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:
c:\documents and settings\Администратор\Application Data\FieryAds (Adware.FieryAds) -> Quarantined and deleted successfully.

Заражено файлов:
c:\documents and settings\Администратор\Application Data\fieryads.dat (Adware.FieryAds) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.37
Версия базы данных: 2182
Windows 5.1.2600 Service Pack 2

03.11.2009 18:55:27
mbam-log-2009-11-03 (18-55-27).txt
читать дальше »

Тип проверки: Быстрая
Проверено объектов: 80843
Прошло времени: 2 minute(s), 23 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
(Вредоносные программы не обнаружены)

Malwarebytes' Anti-Malware 1.37
Версия базы данных: 2182
Windows 5.1.2600 Service Pack 2

03.11.2009 19:02:50
mbam-log-2009-11-03 (19-02-50).txt

Тип проверки: Быстрая
Проверено объектов: 81915
Прошло времени: 3 minute(s), 9 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
(Вредоносные программы не обнаружены)

Malwarebytes' Anti-Malware 1.43
Версия базы данных: 3458
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

03.01.2010 14:03:55
mbam-log-2010-01-03 (14-03-55).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 237620
Прошло времени: 49 minute(s), 4 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 3
Заражено значений реестра: 0
Заражено параметров реестра: 3
Заражено папок: 0
Заражено файлов: 2

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINDOWS\system32\drivers\30007211.sys (Rootkit.Agent.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\CDClose.dll (Malware.Packer) -> Quarantined and deleted successfully.

akok 02-01-2010 19:30 1309272
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

artcdi 03-01-2010 01:11 1309421
Вложений: 1
combofix

E-mpty 03-01-2010 11:30 1309571
artcdi, проверьте эти файлы,
Код:
c:\windows\unslive.exe
c:\documents and settings\Администратор\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
на virustotal

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5133:TCP"=-

NetSvc::
apjddhi

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

artcdi 03-01-2010 12:59 1309647
Вложений: 1
C:\ComboFix.txt

iskander-k 03-01-2010 13:43 1309666
А что с проблемой ?

artcdi 03-01-2010 14:01 1309677
Больше не тревожит.

E-mpty 03-01-2010 14:13 1309686
Цитата:
Цитата artcdi
Больше не тревожит. »
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/IMG]

iskander-k 03-01-2010 14:15 1309689
Цитата:
Цитата artcdi
Больше не тревожит. »
Тогда заключительные рекомендации.

Обновите вашу ОС Microsoft Windows XP Professional Service Pack 2
до версии Microsoft Windows XP Professional Service Pack 3. В Service Pack 3 включено множество исправлений ОС. Обновить можно с помощью центра обновления встроенного в ОС. Или загрузить пакет SP3 с Центра загрузки Майкрософт выбрав язык соответствующий вашей ОС.
В дальнейшем регулярно обновляйте windows посредством встроенной системы обновления.

Если у вас сборка - то, возможно , может потребоваться активация заново.

artcdi 03-01-2010 16:00 1309750
СПАСИБО!


Время: 16:05.

Время: 16:05.
© OSzone.net 2001-