Перейти к содержанию
Правила раздела

Вирус предлагает купить товар (футболки, труселя и т.д.)

vovnet

От vovnet
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

vovnet Новичок

vovnet

Опубликовано
Опубликовано

Такая вот проблема - вылазиет окно на пол экрана с рекламой и просит купить футболку или отправить СМС, чтоб оно исчезло... а при нажатии кнопки "закрыть" начинается отсчет 60 сек, после чего окно исчезает и через 5-10 мин снова вылазиет.

скриншоты прилагаю:

post-12950-1258207973_thumb.jpg

post-12950-1258208009_thumb.jpg

 

при помощи ctrl+alt+del можно только свернуть это окошко, но оно активируется каждые 5 минут и выкидывает из игр...

 

помогите пожалуйста!

Ссылка на комментарий
Поделиться на другие сайты
Мирный Атом Ветеран

Мирный Атом

Опубликовано
Опубликовано

Проверьте на www.virustotal.com/ru файл "C:\WINDOWS\VM305_STI.EXE" Если ничего не найдет сделайте следующее: Правой кнопкой мыши на выделенный вами файл, нажмите перейти к процессам и сделайте скрин.

Ссылка на комментарий
Поделиться на другие сайты
gremlin-95 Постоялец

gremlin-95

Опубликовано
Опубликовано (изменено)

Не делайте это до одобрения хэлпера!

Профиксить

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

O3 - Toolbar: Ask.com Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Ask.com Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\ВЛАДИМИР\APPLIC~1\FieryAds\FieryAds.dll

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

Обновитесь до SP3.

Изменено пользователем gremlin-95
Ссылка на комментарий
Поделиться на другие сайты
vovnet Новичок

vovnet

Опубликовано
  • Автор
Опубликовано
Проверьте на www.virustotal.com/ru файл "C:\WINDOWS\VM305_STI.EXE" Если ничего не найдет сделайте следующее: Правой кнопкой мыши на выделенный вами файл, нажмите перейти к процессам и сделайте скрин.

 

вирусы там не нашлись...

а скрин сделал, как понял:

post-12950-1258216062_thumb.jpg

 

еще вопрос - что значит профиксить? :lol:

Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

Пофиксить в HijackThis(некоторых строчек может и не быть)

F3 - URLSearchHook: (no name) - {3FC0460E-A9D3-40C2-878B-CFA16C6E1262} - (no file)
R3 - URLSearchHook: (no name) - {63432924-FF0F-4F2D-BA15-FE46454977A3} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

ПК перезагрузите.

 

Выполните скрипт в avz

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
DelBHO('{1511E52E-6638-422C-BB10-47B0F1FF071D}');
QuarantineFile('C:\WINDOWS\system32\ysmlib.dll','');
DelBHO('{1094613F-84B6-4131-AEC1-71DF88291044}');
QuarantineFile('C:\WINDOWS\system32\pllib.dll','');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\DOCUME~1\ВЛАДИМИР\LOCALS~1\Temp\w_w259.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\CMedia\CMedia.dll','');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\CMedia\CMedia.dll');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\WINDOWS\system32\pllib.dll');
DeleteFile('C:\WINDOWS\system32\ysmlib.dll');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты
vovnet Новичок

vovnet

Опубликовано
  • Автор
Опубликовано

Сообщение от модератора thyrex
Не используйте полное цитирование предыдущих сообщений

 

Сделал как сказали, только я не понял как фиксить в HijackThis? объясните, я дуб в этом))

Ссылка на комментарий
Поделиться на другие сайты
Мирный Атом Ветеран

Мирный Атом

Опубликовано
Опубликовано (изменено)

Делайте следующее: Пуск->Выполнить->msconfig->OK->Вкладка автозагрузка->Убираем галочку с файла VM305_STI.EXE->Применить->OK->Перезагружаем комп. После перезагрузки выйдет окно, что изменены настройки системы ВЫ ставите галочку "При перезагрузке не напоминать....... и т.п." Потом удалите файл из папки C:\WINDOWS\VM305_STI.EXE

Изменено пользователем vaga7777
Ссылка на комментарий
Поделиться на другие сайты
vovnet Новичок

vovnet

Опубликовано
  • Автор
Опубликовано

а логи зачем?

 

ответ с лаборатории:

Здравствуйте,

 

 

CMedia.dll - not-a-virus:AdWare.Win32.AdSubscribe.agn

 

Это файл от рекламной системы. Такие файлы детектируются

расширенным набором баз. Подробная информация о

расширенных базах: http://www.kaspersky.ru/extraavupdates

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • JIABP
      Поздравьте меня, я купил...
      От JIABP
      Хвастаться, конечно, не хорошо, но ведь после покупки ноута/машины/новой мышки или какой другой техники, так хочется поделится этим.
       
      Формат: Название девайса, ссылка на описание, зачем покупали, почему именно этот девайс. Ну и небольшое личное описание.
       
      З.Ы. Я пока ничего не покупал, но в скоро времени покажу пару стиляжных девайсов для ПК, если же конечно куплю = )
    • wumbo12
      Можно смело купить Total Security -> Plus?
      От wumbo12
      Доброго дня! Если приобрести у оф диллера , поскольку есть ключи Total Security 1 device = 3 year , она будет работать в составе Plus автоматически актуальную версию?
    • jiil
      Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

    • kmscom
      [Сувенир] Спортивная коллекция: футболка
      От kmscom
      В данной теме представлен обзор с подробным описанием подарочного сувенира, который получен из магазина клуба по бонусной программе, за форумное бета-тестирование, из Магазина «kaspersky<merch»  и т. п.
      Пожалуйста, не обсуждайте в этой теме другие сувениры.
      .
      Описание магазина kaspersky>merch 
       стильная футболка, которая сразу покажет всем, за какую команду вы играете.   Материал: Ложная сетка «Премиум Плюс», 100% полиэстер. Плотность: 135 г/м2.   Рекомендации по уходу:       • Стирка при температуре не более 30 °C.       • Не использовать отбеливатель.       • Не сушить в стиральной/сушильной машине.       • Глажка с изнаночной стороны изделия при температуре не выше 110 °C   Фото магазина  
      Мои фотографии
       
      Необычная расцветка. 
       
       
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
×
×
  • Создать...