FieryAds v2.0.2 Реклама на рабочем столе
Прошу помоч , на рабочем столе появлялсе рекламный банер предлогающий купить различные товары сексуальной направленности, банер закрывался через минуту. Я вроде нашел источник зла и удалил, сейчас уже в течении минут 30 комп работает нормально, но все же хотелось бы что специалисты посмотрели логи.
зы.вроде все по инструкции сделал
заранее спасибо за помощь
Последний раз редактировалось Korotov; 14.12.2009 в 15:04.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1) Отключите восстановление системы.
2) Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Total Commander\hnetcfg.dll',''); QuarantineFile('C:\Documents and Settings\User1\Рабочий стол\Dekanat\Install\Система ДЕКАНАТ.msi',''); QuarantineFile('C:\Documents and Settings\User1\Application Data\Microsoft\Installer\{067B200B-FF20-4022-98FC-8CA9A705201C}\NewShortcut211_7A412BE9E04A43A893BDCE3026DB42CD.exe',''); QuarantineFile('C:\WINDOWS\system32\AD.exe',''); QuarantineFile('C:\Documents and Settings\Admin.USERGATE.000\Application Data\Slk.exe',''); QuarantineFile('C:\System Volume Information\_restore{AF5B7EBD-F7BD-4886-91BB-C96A1D53F8A9}\RP133\A0011232.dll',''); QuarantineFile('C:\System Volume Information\_restore{AF5B7EBD-F7BD-4886-91BB-C96A1D53F8A9}\RP133\A0011235.dll',''); QuarantineFile('C:\Documents and Settings\Admin.USERGATE.000\Application Data\CMedia\CMedia.dll',''); QuarantineFile('C:\DOCUME~1\ADMINU~1.000\APPLIC~1\FieryAds\FieryAds.dll',''); DeleteFile('C:\WINDOWS\system32\AD.exe'); DeleteFile('C:\Documents and Settings\Admin.USERGATE.000\Application Data\Slk.exe'); DeleteFile('C:\System Volume Information\_restore{AF5B7EBD-F7BD-4886-91BB-C96A1D53F8A9}\RP133\A0011232.dll'); DeleteFile('C:\System Volume Information\_restore{AF5B7EBD-F7BD-4886-91BB-C96A1D53F8A9}\RP133\A0011235.dll'); DeleteFile('C:\Documents and Settings\Admin.USERGATE.000\Application Data\CMedia\CMedia.dll'); DeleteFileMask('C:\Documents and Settings\Admin.USERGATE.000\Application Data\CMedia', '*.*', true); DeleteDirectory('C:\Documents and Settings\Admin.USERGATE.000\Application Data\CMedia'); DeleteFile('C:\DOCUME~1\ADMINU~1.000\APPLIC~1\FieryAds\FieryAds.dll'); DeleteFileMask('C:\DOCUME~1\ADMINU~1.000\APPLIC~1\FieryAds', '*.*', true); DeleteDirectory('C:\DOCUME~1\ADMINU~1.000\APPLIC~1\FieryAds'); DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}'); DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Slk'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
3) Затем выполните второй скрипт в AVZ:
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
4) Сделайте новые логи.
Программу Radmin сами устанавливали?
GHETTO/STREET WORKOUT
Фаил закачал, сейчас сделаю логи.
На счет радмина, да сам ставил.
Последний раз редактировалось Korotov; 14.12.2009 в 15:31.
Рекомендации из поста #2 выполните.А нет, реклама снова вылезла на рабочий стол(((( очень прошу помочь
GHETTO/STREET WORKOUT
за пост "А нет, реклама снова вылезла на рабочий стол(((( очень прошу помочь" извеняюсь, он был написан до того как выполнил скрипты, просто когда начал его писать вашего поста еще небыло.Сообщение от Ingener
потому он и был удален.
в данный момент жду когда будут готовы новые логи
Все выполнил, прилогаю новые логи
Выполните скрипт в AVZ:
Проблема решена?Код:begin DeleteFile('C:\Program Files\Total Commander\hnetcfg.dll'); end.
Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Установите Internet Explorer 8.
3) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
GHETTO/STREET WORKOUT
Проблема вроде решена за что огромное спасибо.
В ближайшее время планируется установка лицензионного winXP sp3, с ним же наверно и установится обновление интернет эксплорер...но я в интернет хожу через оперу.
Тему по ссылке обязательно почитаю, еще раз спасибо!!!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin.usergate.000\application data\cmedia\cmedia.dll - not-a-virus:AdWare.Win32.AdSubscribe.azy ( DrWEB: Trojan.AdSubscribe.157 )
- c:\program files\total commander\hnetcfg.dll - Trojan-Downloader.Win32.Agent.coip ( DrWEB: Trojan.DownLoad.5619, BitDefender: Trojan.Generic.2228306, AVAST4: Win32:Trojan-gen )
- c:\system volume information\_restore{af5b7ebd-f7bd-4886-91bb-c96a1d53f8a9}\rp133\a0011232.dll - Trojan-Downloader.Win32.Agent.coip ( DrWEB: Trojan.DownLoad.5619, BitDefender: Trojan.Generic.2228306, AVAST4: Win32:Trojan-gen )
- c:\system volume information\_restore{af5b7ebd-f7bd-4886-91bb-c96a1d53f8a9}\rp133\a0011235.dll - Trojan-Downloader.Win32.Agent.coip ( DrWEB: Trojan.DownLoad.5619, BitDefender: Trojan.Generic.2228306, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) Korotov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
