Первая вредоносная программа за всю историю [LOG!]

[supremist]

добрый вечер,хотелось бы обратиться за помощью,т.к. этот форум неоднократно помогал в решении разного рода проблем.Недавно на мой компьютер проникла вредоносная программа,которую я впервые не могу одолеть,вирус -рекламного характера,пользуюсь продуктами Касперского, а именно KIS 2009 8.0.0.454 (a.d.e.g).

 

 

P\S скриншоты прилагаются,предыдущие посты о подобных проблемах не просматривал,т.к. катастрофически сейчас не хватает времени.Еще раз прошу прощение за "нубство".После проведения нескольких полных проверок был обнаружен и удален троян,но реклама продолжает появлятся поверх всех окон.Зараннее благодарю за любую помощь)

hijackthis.log

virusinfo_syscure.zip

Изменено 26 августа, 2009 пользователем supremist

[merenkov7]

Да это хитрый рекламный продукт первое исчешь все файлы

Ну допустим как это делал я. В локальном поиске винды - вот эти файлы и скрытые тоже!

( adSubscribe,

fieryads,

fieryadsuninstall,

av3moe1w ) основные это - fieryadsuninstall, adSubscribe, fieryads, данные файлы удаляй все с любыми расширениями

в любых папках системного диска , но это ещё не всё некоторые ты не сможешь удалить!

так как они используют системные процессы. Итак

 

//-------------------------------------------------------------------------------------------------------------------------------------------------------

 

1. выполнить-> msconfig-> автозагрузка Снимай галки со всего что неизвестно, загадочно или "адабра кадабра "

 

2. Тоже делаем в службах отключаем службы "адабра кадабра"

 

3. Перезагружаемся - снова пробуем удалить файлы: adSubscribe, fieryads, fieryadsuninstall,

 

4. Если и здесь блокировка, лезем в реестр ( выполнить-> regedit )( не ссы ничего страшного нет )

набираем в "найти и далее" название вышесказанных файлов и все ключики уничтожаем

с названиями этих файлов

кстати это универсальная процедура для удаления вредных файлов )

( перезагружаемся -> шаг 3) вот наверно и всё

 

Ключи в реестре подчистить ОБЯЗАТЕЛЬНО они дают указание на запуск вредным файлам !

 

//-------------------------------------------------------------------------------------------------------------------------------------------------------

 

PS Обязательно создай точку восстановления перед всей этой магией,

а перед тем как в реестре копаться, реестр сохрани.

 

Повторюсь так можно удалить не только эти файлы но и другие - которые сами запускаются( возможно у тебя что то иное, )

[миднайт]

Неприметил логов =) извиняюсь=)

Изменено 27 августа, 2009 пользователем миднайт

[Jen94]

merenkov7, желательно выкладывать скрипты для лечения

supremist, AVZ->Файл->Выполнить скрипт.

Скопировать указанный ниже скрипт, нажать на кнопку "запустить"

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('c:\windows\softwareprotection\systemvital.exe','');
QuarantineFile('C:\WINDOWS\system32\xlive.dll','');
DeleteFile('C:\DOCUME~1\9335~1\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\AdSubscribe\AdSubscribe.dll');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Затем такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите.

 

2)HijackThis->Do a system scan only->поставить галочку около указанных строчек->нажать на жирную кнопку "Fix Checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\9335~1\APPLIC~1\FieryAds\FieryAds.dll
O9 - Extra button: (no name) - DctMapping - (no file)

 

3) После выполнения отпишитесь о результатах

 

Сообщение от модератора Falcon

Поправил.

[supremist]

дай бог здоровечка)проблема решена)

[ТроПа]

Желательно сделать новый клмплект логов, для контроля.

[supremist]

Желательно сделать новый клмплект логов, для контроля.

 

 

контрольный комплект логов выполнил

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Ничего плохого не увидел

 

Установите SP3 (может потребоваться активация) + все новые заплатки

Установите Internet Explorer 8

Обновите JavaRE

[Dzmitry]

сталкивался с похожей рекламой на KIS 9

антивирус тоже не реагировал

[ROME'D'ROS]

сталкивался с похожей рекламой на KIS 9

антивирус тоже не реагировал

Уже поймал его вчера, отправил аналитикам, у меня он поределился как Trojan-Downloader.Win32.Adload.jci, седня его удалил сам каспер, нужна перезагрузка, так же при завершении работы, выдает окно, типо не может завершиться fieryadssubscride, в диспетчере задач его нет...

Хотя че переживать, если новые модификации уже нашли.

О5 сёдня этот чёртик вылез, я сразу нашел эти 3 файла,запаковал в архивчик и отправил аналитикам, теперь это:

AdSubscribe.dll - not-a-virus:AdWare.Win32.FearAds.cd

Uninstall.exe_ - Backdoor.Win32.Hupigon.hxig

Новые модификации о5, скоро обновление..

Изменено 29 августа, 2009 пользователем ROME'D'ROS

[supremist]

прошу вас помочь еще ,не стал создавать новую тему,но после удаления рекламной программы ,столкнулся с еще одной проблемой,а именно не могу открыть доступ на файлы в локальную сеть,он вроде бы есть,но при попытке скачивания у пользователей пишет что его нет))может быть это связано как -то я появлениями новой уч записи?(см. скриншоты)

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[AlexNEW]

У вас есть сетевое окружение?

[Apollon]

У вас есть сетевое окружение?

Как видно по посту топик стартёра "да"

[AlexNEW]

Мне кажется кто то из сетевого окружения в ваш компьютер стучится.

[supremist]

это вы с каких-таких соображений взяли?!потому как это сильно мало вероятно)