Порнобанер

[Анди]

Завелся порнобанер.

Прога обзывает себя CMedia. Угрожает 1000 показами рекламы и предлагает за СМС самоустраниться.

Пробовал удалить ее из \aplication date\, но она заблокировала "показывать скрытые файлы"

Сейчас сканирую GMERом, предварительно выкладываю Log AVZ.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\DOCUME~1\86A9~1\APPLIC~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\Documents and Settings\Андрей\Application Data\CMedia\CMedia.dll','');
DeleteFile('C:\Documents and Settings\Андрей\Application Data\CMedia\CMedia.dll');
DeleteFile('C:\DOCUME~1\86A9~1\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\WINDOWS\system32\servises.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
DeleteFileMask('C:\Documents and Settings\Андрей\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Андрей\Application Data\CMedia');
DeleteFileMask('C:\DOCUME~1\86A9~1\APPLIC~1\FieryAds', '*.*', true);
DeleteDirectory('C:\DOCUME~1\86A9~1\APPLIC~1\FieryAds');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

[Анди]

После выполнения скриптов, банер не появляется.

Вот новые Логи

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Если с показом скрытых файлов проблемы остались, выполните скрипт в AVZ

begin
ExecuteREpair(6);
ExecuteREpair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Где обещанный лог gmer? Он тоже нужен

[Анди]

Проблема, три раза сканировал GMERом и каждый раз после 6 часов сканирования не могу сохранить результат, после любых попыток сохранить комп виснет и дальше только через ресет. Что делать?

[thyrex]

Попробуйте сделать лог в безопасном режиме

[Анди]

Попытался сделать лог в безопасном режиме,но по прежнему выскакивает сообщение "недостаточно места для завершения операции" на каком бы диске я не пытался сохранить лог. Текстовые редакторы тоже не открываются, попытался сохранить лог в существующем файле блокнота, ответ тот же.Что делать?

[snifer67]

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[Анди]

Загрузил файл по второй ссылке, сохранил на "Рабочий стол, запустил сразу вылезло сообщение на английском типа "хотите ли?" нажал да, скачалось что то с httpdownload.mickosoft.com и все, сейчас на мониторе открыто окно на синем фоне:

Connecting to http://download.mickosoft.com . . .

***********************************************************************100%

- и мигает курсор.

 

 

 

 

 

 

все никаких изменений уже 10 минут. Что делать?

 

На свой страх и риск все позакрывал и снова запустил комбофикс, пошло какое то движение появилось сообщение о начале сканирования.

 

А как узнать, что сканирование закончилось?

 

Deleting Files:

C:\Program Files\INSTALL.LOG

C:\WINDOWS\sistem32\_id.dat

C:\WINDOUS\sistem32\ieuinit.inf

 

и уже полчаса больше ничего.

Изменено 8 декабря, 2009 пользователем Анди

[salamych]

Это безопасно?

[thyrex]

Вы защитный софт (антивирус, файрволл) отключаете на время создания лога gmer?

 

На сайт Microsoft Вас Кидо ни за что не пустит.

[Анди]

Нет, я не отключал Антивир. Сейчас попробую просканировать GMERом снова.

 

Выскочило сообщение:

Windows -Ошибка отложеной записи.

Не удалось сохранить все данные файла \Device\HarddiskVolume1\$Mft. Часть данных потеряна.Эта ошибка может быть вызвана отказом оборудования компьютера или сетевого подключения.Попытайтесь сохранить этот файл в другом месте.

ОК

 

Нажал ОК, выскочило 3 таких сообщения, потом:

 

Свободная виртуальная память системы заканчивается. Windows увеличит размер файла подкачки виртуальной памяти.Во время этого процесса некоторые приложения могут получить отказ на запрос памяти.Дополнительные сведения содержаться в справочной системе.

Нажал ОК, курсор двигается, но когда наводишь на окно GMER, превращаестя в часы, ни на какие клики не реагирует, перезапустить компьютер можно только отключив питание (кнопки "ресет" у меня нет).

[thyrex]

Проверку диска chkdsk выполните

[Анди]

Пришел ответ от newvirus@kaspersky.com

 

 

 

CMedia.dll - not-a-virus:AdWare.Win32.AdSubscribe.agn

FieryAds.dll - not-a-virus:AdWare.Win32.FearAds.ay

 

Это файлы от рекламной системы. Такие файлы детектируются

расширенным набором баз. Подробная информация о

расширенных базах: http://www.kaspersky.ru/extraavupdates

 

Это сообщение или его часть не может быть опубликована в любых

средствах массовой информации, форумах, конференциях и.т.д, без

предварительного разрешения отправителя.

При ответе цитируйте всю предыдущую переписку.

Спасибо.

---------

С уважением, Давидов Дмитрий

Вирусный аналитик

ЗАО "Лаборатория Касперского"

 

 

 

 

Как выполнить

проверку диска chkdsk ?

[Мирный Атом]

Как выполнить

проверку диска chkdsk ?

Пуск->Все программы->Стандартные->Командная строка.Запускаем её и вводим chkdsk