Вирус предлагает купить товар (футболки, труселя и т.д.)

[vovnet]

Такая вот проблема - вылазиет окно на пол экрана с рекламой и просит купить футболку или отправить СМС, чтоб оно исчезло... а при нажатии кнопки "закрыть" начинается отсчет 60 сек, после чего окно исчезает и через 5-10 мин снова вылазиет.

скриншоты прилагаю:

 

при помощи ctrl+alt+del можно только свернуть это окошко, но оно активируется каждые 5 минут и выкидывает из игр...

 

помогите пожалуйста!

[snifer67]

Выполните http://forum.kasperskyclub.ru/index.php?showtopic=1698

[vovnet]

мм, я думал что не у меня одного такая проблема... ладно, snifer67 попробую сделать...

[vit9696]

Строгое предупреждение от модератора thyrex

Советы пусть останутся при Вас.

Не вмешивайтесь в процесс лечения

[vovnet]

Выполните http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

все сделал, прикрепляю логи:

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Мирный Атом]

Проверьте на www.virustotal.com/ru файл "C:\WINDOWS\VM305_STI.EXE" Если ничего не найдет сделайте следующее: Правой кнопкой мыши на выделенный вами файл, нажмите перейти к процессам и сделайте скрин.

[gremlin-95]

Не делайте это до одобрения хэлпера!

Профиксить

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

O3 - Toolbar: Ask.com Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Ask.com Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\ВЛАДИМИР\APPLIC~1\FieryAds\FieryAds.dll

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

Обновитесь до SP3.

Изменено 14 ноября, 2009 пользователем gremlin-95

[vovnet]

Проверьте на www.virustotal.com/ru файл "C:\WINDOWS\VM305_STI.EXE" Если ничего не найдет сделайте следующее: Правой кнопкой мыши на выделенный вами файл, нажмите перейти к процессам и сделайте скрин.

 

вирусы там не нашлись...

а скрин сделал, как понял:

 

еще вопрос - что значит профиксить?

[snifer67]

Пофиксить в HijackThis(некоторых строчек может и не быть)

F3 - URLSearchHook: (no name) - {3FC0460E-A9D3-40C2-878B-CFA16C6E1262} - (no file)
R3 - URLSearchHook: (no name) - {63432924-FF0F-4F2D-BA15-FE46454977A3} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

ПК перезагрузите.

 

Выполните скрипт в avz

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
DelBHO('{1511E52E-6638-422C-BB10-47B0F1FF071D}');
QuarantineFile('C:\WINDOWS\system32\ysmlib.dll','');
DelBHO('{1094613F-84B6-4131-AEC1-71DF88291044}');
QuarantineFile('C:\WINDOWS\system32\pllib.dll','');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\DOCUME~1\ВЛАДИМИР\LOCALS~1\Temp\w_w259.tmp','');
QuarantineFile('C:\Documents and Settings\Владимир\Application Data\CMedia\CMedia.dll','');
DeleteFile('C:\Documents and Settings\Владимир\Application Data\CMedia\CMedia.dll');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\WINDOWS\system32\pllib.dll');
DeleteFile('C:\WINDOWS\system32\ysmlib.dll');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

[vovnet]

Сообщение от модератора thyrex

Не используйте полное цитирование предыдущих сообщений

 

Сделал как сказали, только я не понял как фиксить в HijackThis? объясните, я дуб в этом))

[Мирный Атом]

Делайте следующее: Пуск->Выполнить->msconfig->OK->Вкладка автозагрузка->Убираем галочку с файла VM305_STI.EXE->Применить->OK->Перезагружаем комп. После перезагрузки выйдет окно, что изменены настройки системы ВЫ ставите галочку "При перезагрузке не напоминать....... и т.п." Потом удалите файл из папки C:\WINDOWS\VM305_STI.EXE

Изменено 14 ноября, 2009 пользователем vaga7777

[vovnet]

удалил... вроде уже ниче минут 30 не выскакивает!

[snifer67]

Сделайте новые логи.

[thyrex]

+ к snifer67

 

Скажите, веб-камера у Вас есть?

[vovnet]

а логи зачем?

 

ответ с лаборатории:

Здравствуйте,

 

 

CMedia.dll - not-a-virus:AdWare.Win32.AdSubscribe.agn

 

Это файл от рекламной системы. Такие файлы детектируются

расширенным набором баз. Подробная информация о

расширенных базах: http://www.kaspersky.ru/extraavupdates