Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] При работе с Internet Explorer выскакивет рекламный банер сылкой на сайт. (http://forum.oszone.net/showthread.php?t=163097)

sztksales 11-01-2010 12:26 1317078
При работе с Internet Explorer выскакивет рекламный банер сылкой на сайт.
 
Добрый день хелперы.

У меня такая проблема.. При запуске Internet Explorer и работы с ним через какое то время постоянно выскакивает окошко - ссылка на сайт видеоскачивания фильмов...
Чуствую подцепил рекламный вирус сайта... Помогите мне избаиться от него.
P.S. Посмотрите может я еще чего подцепил на свою беду.... Буду ждать от вас ответа
С уважением..... :(

E-mpty 11-01-2010 14:15 1317168
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

http://virusnet.info/forum/showthread.php?t=10

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL','');
 QuarantineFile('C:\TEMP\iexplore.exe','');
 QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\History\History.IE5\rssiexplore.exe','');
 QuarantineFile('C:\Program Files\Kinofilmoff.Net\Reklamer.exe','');
 QuarantineFile('c:\program files\kinofilmoff.net\reklamer.exe','');
 DeleteFile('c:\program files\kinofilmoff.net\reklamer.exe');
 DeleteFile('C:\Program Files\Kinofilmoff.Net\Reklamer.exe');
 DeleteFile('C:\Documents and Settings\Андрей\Local Settings\History\History.IE5\rssiexplore.exe');
 DeleteFile('C:\TEMP\iexplore.exe');
 DeleteFile('C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{1D868E7A-58F1-406A-A16A-BD32A5E369FD}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rssiexplore');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kinofilmoff.Net');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rssiexplorer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пофиксить в hijackthis:
http://virusnet.info/forum/showthread.php?t=9

Код:
O3 - Toolbar: kinofilmoff.net 1.0 - {1D868E7A-58F1-406A-A16A-BD32A5E369FD} - C:\PROGRA~1\KINOFI~1.NET\IEKINO~1.DLL
O4 - HKCU\..\Run: [Kinofilmoff.Net] C:\Program Files\Kinofilmoff.Net\Reklamer.exe
O4 - HKCU\..\Run: [rssiexplore] C:\Documents and Settings\Андрей\Local Settings\History\History.IE5\rssiexplore.exe
O4 - HKCU\..\Run: [rssiexplorer] C:\TEMP\iexplore.exehttp://virusnet.info/forum/showthread.php?t=10
Повторите логи.

sztksales 11-01-2010 16:40 1317336
E-mpty, Спасибо, что откликнулись на мою беду... :)

Все сделал как Вы сказали, выставляю новые логи.

Что скажите...???

E-mpty 11-01-2010 17:19 1317382
Выполните скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с программой АВЗ появится архив quarantine.zip
Полученный архив отправьте на newvirus@kaspersky.com с указанием пароля: virus в теле письма.

Эти IP вам знакомы: 213.158.7.2 212.48.193.37? Если они не ваши, то нужно пофиксить в hijackthis эту строку:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC2EE32D-7AEB-4004-9EE2-9505EB67F532}: NameServer = 213.158.7.2 212.48.193.37
Диск D: у вас флэшка или локальный?

Проверте еще этот файл: D:\INSTALL\GMSIPCI.SYS на virustotal

Кроме этого, больше ничего подозрительного не вижу... Что с проблемой?

sztksales 11-01-2010 18:25 1317444
E-mpty,

Я созвонился со своим провайдером интернет услуг и мы проверели эти IP номера - с ними все в порядке.... :)
Отправил quarantine.zip на newvirus@kaspersky.com
Как придет ответ отпишусь..... :)

Диск D: - локальный(часть диска С)... :) На диске D я держу скаченные с торента программы, так что D:\INSTALL\GMSIPCI.SYS это прога инсталяции одной из программ...


HTML код:
Что с проблемой?
Проблема решена!!!!! Вирус убит и мой компьютер по прежнему жужжит.... :clapping:

Спасибо огромное тебе E-mpty :4u:

E-mpty 11-01-2010 23:04 1317667
Цитата:
Цитата sztksales
Проблема решена!!!!! »
Рад за вас :) Осталось выполнить заключительные рекомендации:

Очистить и создать новую контрольную точку восстановления,
А. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
В. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Рекомендую для уменьшения риска заражения:
- Не работать за компьютером с правами администратора.
- Не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность, можно использовать Firefox c плагином NoScript или Opera.
- Регулярно устанавливать обновления windows и обновлять антивирусные базы.

Что из этого нужно?
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
Также обратите внимание:
Код:
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

sztksales 12-01-2010 12:15 1318010
E-mpty, Добрый день!!!

Пришел ответ из лаборатории Касперского.
Вот что они пишут:

Код:
Здравствуйте,


avz.cnt, avz.exe, avz.hlp, avz.url, backup.avz, bt.avz, exc.avz, extract.avz, keylogger.avz, krnldrv.avz, lang_en.avz, lang_ru.avz, main.avz, main001.avz, main002.avz, main003.avz, main004.avz, main005.avz, main006.avz, main007.avz, main008.avz, main009.avz, main010.avz, main011.avz, main012.avz, main013.avz, main014.avz, main015.avz, main016.avz, main017.avz, main018.avz, main019.avz, main020.avz, main021.avz, main022.avz, main023.avz, main024.avz, main025.avz, main026.avz, main027.avz, main028.avz, main029.avz, main030.avz, main031.avz, main032.avz, main033.avz, neural.avz, neurald.avz, neurale.avz, neuralm.avz, ports.avz, prt.avz, repair.avz, rootkit.avz, scripts.avz, scu.avz, signf001.avz, signf002.avz, signf003.avz, signf004.avz, signfusr.avz, sr.avz, srdb.avz, syscheck.avz, sysipu.avz, tsw.avz, version.txt

Вредоносный код в файлах не обнаружен.
E-mpty, Постараюсь по вашим рекомендациям исправить службы. :cool:
P.S. А можно вопрос? А не подскажите, есть ли такая возможность пригласить специалиста домой или привезти комп для профилактики компьютера из вашего форума...??? Уж очень нехочется приглашать спеца с фирмы (с улицы).... у них одно на уме, если чего то не получаеться - очистка диска и переустановка Windows.

Drongo 12-01-2010 14:08 1318120
Цитата:
Цитата sztksales
А не подскажите, есть ли такая возможность пригласить специалиста домой или привезти комп для профилактики компьютера из вашего форума...??? »
В принципе можно, но при условии что нужный вам специалист живёт в одной стране и в одном с вами городе + согласится помочь вам оффлайн. :)

sztksales 12-01-2010 14:21 1318136
Drongo, Добрый день.

А в Санкт Петербурге есть такие кулибины-хелперы?????
А то у меня есть несколько проблем небольших и хотелось бы живой консультации и помощи... :blush2:


Время: 07:24.

Время: 07:24.
© OSzone.net 2001-