И снова рекламный баннер.

[modulle]

Думаю всё понятно. Вылез рекламный баннер. В интернете искал такой, но не нашёл. Заражённый компьютер загружен в ERD Commander`e. ОС: XP SP3 x32 (x86). Нуждаюсь в помощи.

[Roman_Five]

пуск|start - выполнить|run - erdregedit

в подгруженном реестре с Вашего компьютера поищите в ветке

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

этот параметр

AppInit_DLLs

в ветке

HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

этот параметр

userinit

и этот

shell

Приложите результат в новом сообщении (сами файлы не удаляйте!).

[modulle]

Всё сделал как Вы и сказали, вот что в этих файлах написано:

AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll

Userinit: C:\Windows\System32\drivers\System32.exe

Shell: Explorer.exe

[thyrex]

Исправляете параметр userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe,

 

После этого делайте логи по правилам

[modulle]

Исправляете параметр userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe

Не помогло

Изменено 10 июня, 2011 пользователем modulle

[Roman_Five]

в конце обязательно должна быть запятая.

измените значение на правильное. выгрузите реестр (при этом он сохранится)

перезагрузитесь.

загрузитесь в обычный режим.

сделайте логи.

[modulle]

Помощь больше не требуется Проверил всё программкой Malwarebytes' Anti-Malware и всё стало чики-пуки

Изменено 10 июня, 2011 пользователем modulle

[Tiare]

Помощь больше не требуется Проверил всё программкой Malwarebytes' Anti-Malware и всё стало чики-пуки

 

Не торопитесь, по вашим отчетам есть еще зловреды. Отчет о работе МБАМ сохранился?

 

 

Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

Begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Windows\System32\drivers\System32.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll','');
DeleteFile('C:\Windows\System32\drivers\System32.exe');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','System32 Info Solution');
DelAutorunByFileName('C:\Windows\System32\drivers\System32.exe');
BC_ImportAll;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

+

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [System32 Info Solution] C:\Windows\System32\drivers\System32.exe

 

+

Установите Internet Explorer 8 (даже если им не пользуетесь)

 

Повторите логи по правилам в обычном режиме.

 

Отчет о работе МБАМ покажите. Если он у вас не сохранился, приложите скрин карантина МБАМ

 

 

VKSaver, GuardMailRu – сами устанавливали? Эти программы вам нужны?

Изменено 10 июня, 2011 пользователем Tiare

[modulle]

Установите Internet Explorer 8 (даже если им не пользуетесь)

Установил.

VKSaver, GuardMailRu – сами устанавливали? Эти программы вам нужны?

Устанавливал лично я. VKSaver уже удалил, т.к. перестал им пользоваться, Гвард оставил.

Скрин карантина также выложил, но он был сделан на следующий день до того, как я устранил проблему с рекламным баннером.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 11 июня, 2011 пользователем modulle

[Tiare]

modulle, теперь чисто.

 

Обязательно деинсталлируйте МБАМ!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

+

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Это серьезная уязвимость для вашей системы, поэтому желательно отключить автозапуск на этих устройствах. Если решите то,

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

 

+

AVZ - Файл\Мастер поиска и устранения проблем- системные проблемы – все проблемы - выбрать

>> Таймаут завершения процессов находится за пределами допустимых значений

>> Таймаут завершения служб находится за пределами допустимых значений

- Исправить отмеченные проблемы

 

+ обратите внимание. Службы, которые не используются на вашем компьютере, желательно отключить

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

 

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

 

 

Если Вы хотите избежать нового заражения, то желательно:

- не работать за компьютером с правами администратора;

- использовать альтернативный браузер;

- регулярно устанавливать обновления windows и обновлять антивирусные базы;

 

После завершения лечения советую вам посетить эту тему , чтобы узнать больше об эффективных мерах профилактики заражения.

[Tiare]

+

Советую сменить все пароли