Перейти к содержанию

[Лог!] Реклама в браузере


stk

Рекомендуемые сообщения

не знаю откуда появилась какая то непонятная реклама в браузере,вот скрин.проверял на вирусы нашел 4

удалено: троянская программа Trojan-PSW.Win32.Lmir.cav Файл: C:\WINDOWS\system32\Wow.exe//NSPack

удалено: троянская программа Trojan-GameThief.Win32.OnLineGames.asfx Файл: C:\WINDOWS\system32\soni32drv.dll

удалено: троянская программа Trojan-PSW.Win32.Lmir.cav Файл: C:\System Volume Information\_restore{F83EBEC1-F22C-4EFE-8AA9-DFBFE0E02B97}\RP52\A0062444.exe//NSPack

удалено: троянская программа Trojan-GameThief.Win32.OnLineGames.asfx Файл: C:\System Volume Information\_restore{F83EBEC1-F22C-4EFE-8AA9-DFBFE0E02B97}\RP52\A0062445.dll

Кто знает что это может быть ,поясните.и как с этим бороться ? Она на каждой странице. А когда в explorere в строке например набираю kaspersky.ru меня перекидывает на http://search.msn.com/results.aspx?srch=10...w.kaspersky.ru/

post-7658-1230147382_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

У тебя троян! У меня тоже была такая реклама.Ты с этого браузера в инет пока не выходи,могут провести сетевую атаку . У меня KIS только через два дня после появления рекламы обнаружил трояна и удалил,и то после того как провели сетевую атаку.

Ссылка на комментарий
Поделиться на другие сайты

У тебя троян! У меня тоже была такая реклама.Ты с этого браузера в инет пока не выходи,могут провести сетевую атаку . У меня KIS только через два дня после появления рекламы обнаружил трояна и удалил,и то после того как провели сетевую атаку.

ок.а где он лежит этот троян?или ты уже не помнишь...?

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\hphmon05.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\pdalib.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('C:\WINDOWS\system32\webcheck.dll','');
QuarantineFile('C:\WINDOWS\system32\stobject.dll','');
QuarantineFile('C:\WINDOWS\system32\ntbackup.exe','');
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('c:\windows\temp\2e58.tmp','');
QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('c:\windows\temp\2e58.tmp');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\pdalib.dll');
DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
DelBHO('{FBC934E6-6F95-4742-B6BC-F6E8D854C25D}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи, а в место HJT, cкачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты

Повторите логи, а в место HJT, cкачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

info.rar

log.rar

Ссылка на комментарий
Поделиться на другие сайты

Это точно какой-то BHO. Самое интересное, что если послать СМС, реклама не уберётся. Поэтому будьте бдительны! Не поддавайтесь на уловки злоумышлинников!

Ссылка на комментарий
Поделиться на другие сайты

И ещё один нюанс. Заметил в логах, что включено восстановление системы, я бы порекомендоавл его отключить, что бы убить все точки восстановления. т.к. они скорее всего заражены, а потом снова включиь.

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\crypts.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Пофиксить в HijackThis следующие строчки

 	O20 - Winlogon Notify: crypt - crypts.dll (file missing)

 

Вот так будет чише.

 

Восстановление системы: включено

 

Отключите, потом включите.

Ссылка на комментарий
Поделиться на другие сайты

  • 4 weeks later...

снова столкнулся с этой же проблемой... логи будут минут через 15. было подозрение на backdoor.win32.GF.13x , скачал ловивконтакте для скачивания файлов с контакта, антивирус ничего не кричал. через пол дня,заходя в браузер, увидел снова эту рекламу. проверил компьютер нашел вирус 18.01.2009 23:04:26 Вылечено вирус HEUR:Trojan.Script.Iframer C:\Documents and Settings\Stas\Application Data\Auslogics\Rescue\One Button Checkup\090106150903921.rsc/090106150903921-000268.file

post-7658-1232311443_thumb.jpg

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

info.txt

log.txt

Изменено пользователем stk
Ссылка на комментарий
Поделиться на другие сайты

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelBHO('{C4791458-A3B2-4141-A6F5-05508DE9E9D0}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\agalib.dll','');
DelBHO('{1A6F66F8-04C0-414D-881B-91B2253C5960}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\mvvlib.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\mvvlib.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\agalib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @.

 

 

2.Пофиксить в HijackThis следующие строчки (какие будут)

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: mvvlibP - {1A6F66F8-04C0-414D-881B-91B2253C5960} - C:\Documents and Settings\All Users\Application Data\mvvlib.dll
O2 - BHO: agalibP - {C4791458-A3B2-4141-A6F5-05508DE9E9D0} - C:\Documents and Settings\All Users\Application Data\agalib.dll
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: crypt - crypts.dll (file missing)

 

Повторите логи снова.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...