Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 40.

Пожалуйста, помогите! (заявка № 4566)

  1. #1
    DINAMIT
    Guest

    Пожалуйста, помогите!

    У меня всплывают не с того не с сего баннеры прямо на рабочем столе, точнее не баннеры, а графические объекты и открываются страницы типа:
    http://www.intern-etadvertising.com/normal/yyy65.html, http://www.myfuncards.com/?partner=ZUxdm209&spu=true

    После сканирования систеы различными антивирусами, было удалено громное количество вирусов, троянов и ругих вредоносных програм, но проблема осталась (окна попрежнему открываются), после долгих поисков я наткнулся на этот сайт.
    Просканировал систему антивирусом AVZ (БАЗА ОТ 12.01.2006 10:46)
    ТОЛЬКО ВСЕ ДЕЙСТВИЯ Я ДЕЛАЛ В ОБЫЧНОМ РЕЖИМЕ, Т,К, БЕЗОПАСНЫЙ ТЕПЕРЬНЕ ГРУЗИТСЯ ВООБЩЕ.
    он кое-что удалил:
    C:\Documents and Settings\roman\Local Settings\Temporary Internet Files\Content.IE5\WXYZGPEF\Installer[1].exe >>>>> AdvWare.Win32.Look2Me.ab
    C:\Installer.exe >>>>> AdvWare.Win32.Look2Me.ab
    C:\System Volume Information\_restore{1A0F482A-29E4-4E60-B697-521ECB156C0A}\RP37\A0022521.dll >>>>> AdvWare.ToolBar.Ucmore.a
    C:\WINDOWS\system32\miupgrd.dll >>>>> AdvWare.Win32.Look2Me.ab
    C:\WINDOWS\system32\utbmon.dll >>>>> AdvWare.Win32.Look2Me.ab
    D:\AVAST\DATA\moved\Installer.exe.vir >>>>> AdvWare.Win32.Look2Me.ab
    D:\System Volume Information\_restore{1A0F482A-29E4-4E60-B697-521ECB156C0A}\RP4\A0009103.exe >>>>> AdvWare.Toolbar.Ucmore
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP56\A0038335.exe >>>>> AdvWare.Win32.SurfAccuracy.d
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP64\A0038860.exe >>>>> Porn-Tool.Win32.ABox.a
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039079.dll >>>>> AdvWare.ToolBar.Ucmore.a
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039080.dll >>>>> AdvWare.Toolbar.Ucmore
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039091.ocx >>>>> AdvWare.AzSearch.b
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039096.exe >>>>> Trojan-Downloader.Win32.IstBar.ij
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039097.exe >>>>> Trojan-Downloader.Win32.IstBar.gen
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039154.dll >>>>> AdvWare.Win32.Look2Me.ab
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP65\A0039165.dll >>>>> AdvWare.Win32.Look2Me.ab
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP66\A0039324.dll >>>>> AdvWare.Win32.Look2Me.ab
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP66\A0039328.dll >>>>> AdvWare.Win32.Look2Me.ab
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP66\A0039341.exe >>>>> AdvWare.Zestyfind удаление запрещено настройкой
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP68\A0039532.dll >>>>> AdvWare.Win32.Look2Me.ab
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP68\A0039536.dll >>>>> AdvWare.Win32.Look2Me.ab
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP74\A0041170.EXE >>>>> Trojan-Downloader.Win32.Small.buy
    D:\System Volume Information\_restore{BDB488DF-5E80-461D-AEB8-4DBD31DE6EDD}\RP76\A0042603.exe >>>>> AdvWare.AdURL.c
    C:\WINDOWS\cXFx\asappsrv.dll --> Подозрение на Keylogger или троянскую DLL

    НО ОКНА ПРОДОЛЖАЮТ ВСПЛЫВАТЬ, ЧТО МОЖНО СДЕЛАТЬ????? ПОМОГИТЕ!!! ПОЖАЛУЙСТА
    Вложения Вложения
    Последний раз редактировалось DINAMIT; 29.01.2006 в 16:58.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    1. Выключить восстановление системы как описано в правилах.
    2. Повторить сканирования дисков при помощи АВЗ с установленной птицей "Выполнять лечение".
    3. Перегрузиться и повторить все логи.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    после лечение прислать файлы (искать из программы AVZ):
    c:\windows\cxfx\command.exe
    C:\WINDOWS\cXFx\asappsrv.dll
    c:\program files\network monitor\netmon.exe
    C:\WINDOWS\system32\drivers\i386p.sys
    C:\WINDOWS\TEMP\mc21.tmp
    msctl32.dll
    C:\windows\winsysupd3.exe
    C:\WINDOWS\system32\paytime.exe
    C:\windows\winsysban3.exe
    c:\windows\myupdates.exe
    C:\WINDOWS\system32\mvp6l97s1.dll
    C:\WINDOWS\system32\mpicda.dll
    C:\WINDOWS\system32\kldukx.dll
    C:\WINDOWS\system32\nqmarta.dll
    c:\secure32.html


    из программы HijackThis пофиксить строки:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd3.exe
    O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
    O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban3.exe
    O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe
    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cXFx\command.exe

  5. #4
    Geser
    Guest
    А вообще хочется спросить где, собственно, антивирус?

  6. #5
    DINAMIT
    Guest
    Цитата Сообщение от Geser
    1. Выключить восстановление системы как описано в правилах.
    2. Повторить сканирования дисков при помощи АВЗ с установленной птицей "Выполнять лечение".
    3. Перегрузиться и повторить все логи.
    Все сделал как просили ..... Только ещеразговорю,компьютер не грузится теперь в безопасном режиме, остальное сделал все как надо.
    Вложения Вложения

  7. #6
    Geser
    Guest
    c:\windows\cxfx\command.exe
    c:\program files\network monitor\netmon.exe
    C:\WINDOWS\system32\gp2sl3f71.dll
    C:\WINDOWS\system32\tAembed.dll
    C:\WINDOWS\system32\drivers\i386p.sys
    C:\windows\winsysupd3.exe
    C:\WINDOWS\system32\paytime.exe
    C:\windows\winsysban3.exe
    c:\windows\myupdates.exe
    C:\WINDOWS\system32\mpicda.dll
    C:\WINDOWS\system32\kldukx.dll

    Эти файлы нужно прислать, а так же зайти в C:\WINDOWS\system32 и прислать нам все файлы созданные вчера и сегодня.

  8. #7
    DINAMIT
    Guest
    Цитата Сообщение от MOCT
    после лечение прислать файлы (искать из программы AVZ):
    c:\windows\cxfx\command.exe
    C:\WINDOWS\cXFx\asappsrv.dll
    c:\program files\network monitor\netmon.exe
    C:\WINDOWS\system32\drivers\i386p.sys
    C:\WINDOWS\TEMP\mc21.tmp
    msctl32.dll
    C:\windows\winsysupd3.exe
    C:\WINDOWS\system32\paytime.exe
    C:\windows\winsysban3.exe
    c:\windows\myupdates.exe
    C:\WINDOWS\system32\mvp6l97s1.dll
    C:\WINDOWS\system32\mpicda.dll
    C:\WINDOWS\system32\kldukx.dll
    C:\WINDOWS\system32\nqmarta.dll
    c:\secure32.html


    из программы HijackThis пофиксить строки:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd3.exe
    O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
    O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban3.exe
    O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe
    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cXFx\command.exe
    ЭТИХ ФАЙЛОВ В СИСТЕМЕ НЕТ, ХОТЬ УБЕЙТЕ
    c:\windows\cxfx\command.exe
    C:\WINDOWS\cXFx\asappsrv.dll
    C:\WINDOWS\TEMP\mc21.tmp
    msctl32.dll
    C:\WINDOWS\system32\paytime.exe
    windows\winsysban3.exe
    C:\WINDOWS\system32\mvp6l97s1.dll
    C:\WINDOWS\system32\mpicda.dll
    C:\WINDOWS\system32\kldukx.dll
    C:\WINDOWS\system32\nqmarta.dll
    ЭТОТ ФАЙЛ ЯВЛЯЕТСЯ СТАРТОВОЙ СТРАНИЦЕЙ, НО ЕГО НЕТ, его AVAST далил, но мне вручную не поменять стартовую страницу.
    c:\secure32.html

    Остальные файлы нашел, они в архиве ....
    И что значит профиксить???
    Вложения Вложения

  9. #8
    DINAMIT
    Guest
    Цитата Сообщение от Geser
    c:\windows\cxfx\command.exe
    c:\program files\network monitor\netmon.exe
    C:\WINDOWS\system32\gp2sl3f71.dll
    C:\WINDOWS\system32\tAembed.dll
    C:\WINDOWS\system32\drivers\i386p.sys
    C:\windows\winsysupd3.exe
    C:\WINDOWS\system32\paytime.exe
    C:\windows\winsysban3.exe
    c:\windows\myupdates.exe
    C:\WINDOWS\system32\mpicda.dll
    C:\WINDOWS\system32\kldukx.dll

    Эти файлы нужно прислать, а так же зайти в C:\WINDOWS\system32 и прислать нам все файлы созданные вчера и сегодня.
    Файлы созданные за вчера и сегодня:
    mv4ml9h11.dll
    tAembed.dll
    gp2sl3f71.dll - эти система не дает скопировать
    файлы выслал на e-mail, т.к. они превышают 1 Mb


    Из списка:
    нет в системе:
    c:\windows\cxfx\command.exe
    C:\WINDOWS\system32\mpicda.dll
    C:\WINDOWS\system32\kldukx.dll
    c:\windows\cxfx\command.exe

  10. #9
    Geser
    Guest
    А как искал? Через АВЗ как написано в правилах?

  11. #10
    DINAMIT
    Guest
    Цитата Сообщение от Geser
    А как искал? Через АВЗ как написано в правилах?
    опс ...................... нет .................. в ручную ............

  12. #11
    Geser
    Guest
    Попробуй через АВЗ.

  13. #12
    DINAMIT
    Guest
    Цитата Сообщение от Geser
    Попробуй через АВЗ.
    Ок ок ок

  14. #13
    DINAMIT
    Guest
    Цитата Сообщение от Geser
    Попробуй через АВЗ.
    ОГО

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Geser
    Эти файлы нужно прислать, а так же зайти в C:\WINDOWS\system32 и прислать нам все файлы созданные вчера и сегодня.
    блин, ну зачем такие советы? это хорошо, что винда не 95-98, а то бы нам реестр всем комплектом обломился... да и всякие setupapi.log и прочие нам тоже вряд ли нужны...

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от DINAMIT
    ОГО
    что?
    искать нужно из AVZ со включенной галкой противодействия руткитам.
    про "пофиксить" читать тут: http://virusinfo.info/showthread.php?t=4491

  17. #16
    DINAMIT
    Guest

    Все оставшиеся файлы, те которые я не нашел вручную :)

    Все файлы выслал на e-mail

  18. #17
    Geser
    Guest
    Цитата Сообщение от MOCT
    блин, ну зачем такие советы? это хорошо, что винда не 95-98, а то бы нам реестр всем комплектом обломился... да и всякие setupapi.log и прочие нам тоже вряд ли нужны...
    Ну ладно, забыл написать что только с расширением dll,sys,exe, чего шуметь так?

  19. #18
    DINAMIT
    Guest
    Цитата Сообщение от MOCT
    что?
    искать нужно из AVZ со включенной галкой противодействия руткитам.
    про "пофиксить" читать тут: http://virusinfo.info/showthread.php?t=4491
    Сейчас сделаем

    ВСЕ, ПОФИКСИЛ
    Последний раз редактировалось DINAMIT; 29.01.2006 в 18:33.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Geser
    Ну ладно, забыл написать что только с расширением dll,sys,exe, чего шуметь так?
    да такой подход тоже не будет правильный. простейший пример - guard.tmp. а еще всякие html, bat, файлы без расширений и прочая...

  21. #20
    Geser
    Guest
    Цитата Сообщение от MOCT
    да такой подход тоже не будет правильный. простейший пример - guard.tmp. а еще всякие html, bat, файлы без расширений и прочая...
    Ну пока нет возможности копировать залоченные файлы так лучше чем ничего.

  • Уважаемый(ая) DINAMIT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите пожалуйста
      От ekuz в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.05.2012, 14:07
    2. Ответов: 9
      Последнее сообщение: 08.08.2011, 16:49
    3. Ответов: 23
      Последнее сообщение: 22.02.2009, 02:23
    4. Помогите пожалуйста!
      От Девочка в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.03.2008, 21:31
    5. ПОЖАЛУЙСТА ПОМОГИТЕ
      От владик в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.03.2008, 23:43

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00773 seconds with 20 queries