[Лог!] Реклама в браузере

[stk]

не знаю откуда появилась какая то непонятная реклама в браузере,вот скрин.проверял на вирусы нашел 4

удалено: троянская программа Trojan-PSW.Win32.Lmir.cav Файл: C:\WINDOWS\system32\Wow.exe//NSPack

удалено: троянская программа Trojan-GameThief.Win32.OnLineGames.asfx Файл: C:\WINDOWS\system32\soni32drv.dll

удалено: троянская программа Trojan-PSW.Win32.Lmir.cav Файл: C:\System Volume Information\_restore{F83EBEC1-F22C-4EFE-8AA9-DFBFE0E02B97}\RP52\A0062444.exe//NSPack

удалено: троянская программа Trojan-GameThief.Win32.OnLineGames.asfx Файл: C:\System Volume Information\_restore{F83EBEC1-F22C-4EFE-8AA9-DFBFE0E02B97}\RP52\A0062445.dll

Кто знает что это может быть ,поясните.и как с этим бороться ? Она на каждой странице. А когда в explorere в строке например набираю kaspersky.ru меня перекидывает на http://search.msn.com/results.aspx?srch=10...w.kaspersky.ru/

[MedvedevUnited]

Здравствуйте!

Добро пожаловать на форум!

 

Выполните, пожалуйста, правила.

[stk]

вот 3 файла

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

Изменено 24 декабря, 2008 пользователем stk

[MIHEJ]

У тебя троян! У меня тоже была такая реклама.Ты с этого браузера в инет пока не выходи,могут провести сетевую атаку . У меня KIS только через два дня после появления рекламы обнаружил трояна и удалил,и то после того как провели сетевую атаку.

[stk]

У тебя троян! У меня тоже была такая реклама.Ты с этого браузера в инет пока не выходи,могут провести сетевую атаку . У меня KIS только через два дня после появления рекламы обнаружил трояна и удалил,и то после того как провели сетевую атаку.

ок.а где он лежит этот троян?или ты уже не помнишь...?

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\hphmon05.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\pdalib.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('C:\WINDOWS\system32\webcheck.dll','');
QuarantineFile('C:\WINDOWS\system32\stobject.dll','');
QuarantineFile('C:\WINDOWS\system32\ntbackup.exe','');
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('c:\windows\temp\2e58.tmp','');
QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('c:\windows\temp\2e58.tmp');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\pdalib.dll');
DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
DelBHO('{FBC934E6-6F95-4742-B6BC-F6E8D854C25D}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи, а в место HJT, cкачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Изменено 24 декабря, 2008 пользователем akoK

[stk]

Повторите логи, а в место HJT, cкачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

info.rar

log.rar

[akoK]

Логи AVZ забыли

 

C:\Config.Msi - проверить на http://www.virustotal.com/ru/

Изменено 24 декабря, 2008 пользователем akoK

[CbIP]

Это точно какой-то BHO. Самое интересное, что если послать СМС, реклама не уберётся. Поэтому будьте бдительны! Не поддавайтесь на уловки злоумышлинников!

[stk]

Логи AVZ забыли

 

C:\Config.Msi - проверить на http://www.virustotal.com/ru/

вот новые логи...реклама убралась.

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon]

Лог hijackthis куда-то убежал, добавьте.

[ТроПа]

И ещё один нюанс. Заметил в логах, что включено восстановление системы, я бы порекомендоавл его отключить, что бы убить все точки восстановления. т.к. они скорее всего заражены, а потом снова включиь.

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\crypts.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Пофиксить в HijackThis следующие строчки

 	O20 - Winlogon Notify: crypt - crypts.dll (file missing)

 

Вот так будет чише.

 

Восстановление системы: включено

 

Отключите, потом включите.

[stk]

снова столкнулся с этой же проблемой... логи будут минут через 15. было подозрение на backdoor.win32.GF.13x , скачал ловивконтакте для скачивания файлов с контакта, антивирус ничего не кричал. через пол дня,заходя в браузер, увидел снова эту рекламу. проверил компьютер нашел вирус 18.01.2009 23:04:26 Вылечено вирус HEUR:Trojan.Script.Iframer C:\Documents and Settings\Stas\Application Data\Auslogics\Rescue\One Button Checkup\090106150903921.rsc/090106150903921-000268.file

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

info.txt

log.txt

Изменено 18 января, 2009 пользователем stk

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelBHO('{C4791458-A3B2-4141-A6F5-05508DE9E9D0}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\agalib.dll','');
DelBHO('{1A6F66F8-04C0-414D-881B-91B2253C5960}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\mvvlib.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\mvvlib.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\agalib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @.

 

 

2.Пофиксить в HijackThis следующие строчки (какие будут)

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: mvvlibP - {1A6F66F8-04C0-414D-881B-91B2253C5960} - C:\Documents and Settings\All Users\Application Data\mvvlib.dll
O2 - BHO: agalibP - {C4791458-A3B2-4141-A6F5-05508DE9E9D0} - C:\Documents and Settings\All Users\Application Data\agalib.dll
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: crypt - crypts.dll (file missing)

 

Повторите логи снова.