Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Рекламный модуль / блокиратор (заявка № 78734)

  1. #1
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    11
    Вес репутации
    51

    Thumbs up Рекламный модуль / блокиратор

    По порядку:
    - внезапно, при ни первом запуске за сессию Opera, появляется рекламный баннер (код M201517522 номер 3381). AVP ни как на него не реагирует. Ореra и IE не запускаются. Не впервые сталкиваясь с подобным запускаю CCleaner, в разделе startup нахожу новую строчку winwoy32.exe с адресом C:\Documents and Settings\...\Главное меню\Программы\Автозагрузка. Радуюсь, открываю указанный путь, но папка пуста (не скрытых, не "системных элементов). Огорчаюсь, но отключаю автозагрузку winwoy32 (потом узнаю, что это Kernel32, мне правда это ни о чём не говорит). Пробую удалить строчку - не удаляется. Перезагружаюсь.
    - Система загружается с ошибками, практически ничего из автозагрузки не загружается, в том числе и AVP. При ручном запуске AVP - сообщение о том, что запуск этого програмного... запрещёл параметрами групповой политики. Запускаю gpedit - вылетает через пол секунды.
    - Дальше долгая эпопея с попыткой запустить хоть что-нибудь. Ничего из admintools не запускается или сразу закрывается. Запустился только диспечер служб. Служба Касперского отключена. При попытке ручного запуска - система начинает резко завершать работу. Системные менеджеры не запускаются. Диспечер само собой заблокирован. Msconfig запускается, но в нём ничего новго или интересного.
    Самое интересное, что баннера-то моего нет всё это время. Появляется он только при попытке запуска браузера. Иногда браузер удаётся запустить и баннер не появляется, иногда не удаётся - появляется.
    - при запуске AVZ и hijackthis - экстренное завершение работы.
    - hijackthis всё таки успевает закончить лог до выключения - приложил.


    Пофиксил
    Код:
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O20 - AppInit_DLLs: C:\WINDOWS\Inf\netrsvp.inf:BZM1WD0E82G
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\a28bad12.exe,C:\WINDOWS\system32\3577631a.exe,\\?\globalroot\systemroot\system32\DrlL68o.exe,\\?\globalroot\systemroot\system32\1cJewG1.exe,\\?\globalroot\systemroot\system32\7B84ce6.exe,\\?\globalroot\systemroot\system32\mQtkyWu.exe,
    Всё равно, при запуске AVZ - завершение работы.

    Совершенно случайно наткнулся в system32 на такую ерунду. Есть подозрение. Что сделать рекомендуете?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Пробуем так, переименуйте АВЗ в pong.pif
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\a28bad12.exe,C:\WINDOWS\system32\3577631a.exe,\\?\globalroot\systemroot\system32\DrlL68o.exe,\\?\globalroot\systemroot\system32\1cJewG1.exe,\\?\globalroot\systemroot\system32\7B84ce6.exe,\\?\globalroot\systemroot\system32\mQtkyWu.exe,
    O20 - AppInit_DLLs: C:\WINDOWS\Inf\netrsvp.inf:BZM1WD0E82G
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\3577631a.exee','');
     QuarantineFile('C:\WINDOWS\system32\a28bad12.exe','');
     QuarantineFile('%system32%\DrlL68o.exe','');
     QuarantineFile('%system32%\1cJewG1.exe','');
     QuarantineFile('%system32%\7B84ce6.exe','');
     QuarantineFile('%system32%\mQtkyWu.exe','');
     DeleteFile('C:\WINDOWS\system32\a28bad12.exe');
     DeleteFile('C:\WINDOWS\system32\3577631a.exe');
     DeleteFile('%system32%\DrlL68o.exe');
     DeleteFile('%system32%\1cJewG1.exe');
     DeleteFile('%system32%\7B84ce6.exe');
     DeleteFile('%system32%\mQtkyWu.exe');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(6);
    Executerepair(11);
    Executerepair(16);
    Executerepair(17);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     ExecuteWizard('SCU', 2, 2, true);
     ExecuteWizard('PRT', 2, 2, true);
     ExecuteWizard('TSW', 2, 2, true);
     BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    11
    Вес репутации
    51
    shapel, пофиксил уже, говорю. Или вы ничего кроме логов не читаете? Перемименование AVZ результатов не даёт - завершение работы.
    Последний раз редактировалось MrRewolwer; 19.05.2010 в 03:39.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    MrRewolwer, на каких форумах еще создали темы? На оффоруме ЛК выписан очередной рецепт
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    11
    Вес репутации
    51
    Только здесь и там.

    Добавлено через 1 час 29 минут

    Здаётесь, хелперы? Я тоже...
    Последний раз редактировалось MrRewolwer; 19.05.2010 в 03:12. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от MrRewolwer Посмотреть сообщение
    пофиксил уже, говорю
    После фикса и перезагрузки лог повторите.

    Цитата Сообщение от MrRewolwer Посмотреть сообщение
    Меня вот это напрягает
    Тут ничего опасного.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    11
    Вес репутации
    51
    Цитата Сообщение от Bratez Посмотреть сообщение
    Тут ничего опасного.
    Хорошо.

    Лог после фикса.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Ничего плохого больше не видно.
    А AVZ по-прежнему отказывается работать?

    В главном меню HijackThis нажмите Open the Misc Tools section, а там IgnoreList, проверьте, нет ли чего в этом списке игнорирования.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    11
    Вес репутации
    51
    Да! В IgnoreList HijackThis была строчка С:\WINDOWS\Fonts\ONYX.TTF:BZM1WDOE82G. И тут как раз на форуме ЛK мне подсказывают поискать C:\WINDOWS\Inf\netrsvp.inf:BZM1WD0E82G. Netrsvp.inf:BZM1WD0E82G у меня нет, но вот эта "BZM1WD0E82G" мне как бы намекает! Я перемешаю С:\WINDOWS\Fonts\ONYX.TTF:BZM1WDOE82G в другое место и УРА - всё грузится без ошибок, всё запускается! Логи приложил.

    !!! Файл ONYX.rar - запароленный архив с ONYX.TTF:BZM1WDOE82G - я его заархивил до того как начал работу AVZ. Пароль: virus
    Последний раз редактировалось PavelA; 19.05.2010 в 13:35. Причина: Лишнее удалено

  11. #10
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    11
    Вес репутации
    51
    БАМП! (sorry )

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    !!! Файл ONYX.rar - запароленный архив с ONYX.TTF:BZM1WDOE82G - я его заархивил до того как начал работу AVZ. Пароль: virus
    - загрузите по ссылке Прислать запрошенный карантин вверху темы

  13. #12
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    11
    Вес репутации
    51
    Сделал.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Fonts\ONYX.TTF:BZM1WD0E82G','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GKIYU7G7\QvY76bjEUs3nC5q[1].htm','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XQTCMQNZ\9m6vzrTi1fjg3Bb[1].htm','');
     DeleteFile('C:\WINDOWS\Fonts\ONYX.TTF:BZM1WD0E82G');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GKIYU7G7\QvY76bjEUs3nC5q[1].htm');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XQTCMQNZ\9m6vzrTi1fjg3Bb[1].htm');
     DeleteFileMask('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     QuarantineFile('C:\WINDOWS\inf\netrsvp.inf:BZM1WD0E82G:$DATA','');
     DeleteFile('C:\WINDOWS\inf\netrsvp.inf:BZM1WD0E82G:$DATA');
     DeleteFile('C:\WINDOWS\inf\netrsvp.inf:BZM1WD0E82G');
     RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp6000.tmp','');
     RegSearch('HKLM', '', 'esp6000.tmp');
     SaveLog(GetAVZDirectory + 'search.log');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(11);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - файл search.log из папки AVZ прикрепите к сообщению

  15. #14
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    11
    Вес репутации
    51
    Up

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\56111306');
     RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\56111306');
     RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\56111306');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp6000.tmp');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\esp6000.tmp');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  17. #16
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    11
    Вес репутации
    51
    Вот.
    Скрипт выполнен после работы ComboFix. Лог ComboFix на всякий случай приложил.
    Последний раз редактировалось MrRewolwer; 19.05.2010 в 13:23.

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    В логах чисто.Что с проблемой?

    обновите систему
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут
    - поставте Adobe Reader 9.3 или удалите старый.

  19. #18
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    11
    Вес репутации
    51
    Симптомов никаких, должно быть проблема решена. Спасибо большое, вы супер, сайт супер, я в восторге.

    Добавлено через 16 минут

    Вот!
    AVP по прежнему не запускается:
    Невозможно открыть данную программу из-за политики ограничения программного обеспечения. За дополнительной информацией обратитесь к системному администратору. Научите как исправить, пазязя.
    Последний раз редактировалось MrRewolwer; 19.05.2010 в 13:55. Причина: Добавлено

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Попробуйте табл №6 из AVZ - Файл - "Восст. системы"
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    18.05.2010
    Сообщений
    11
    Вес репутации
    51
    Выполнил
    Код:
    begin
    ExecuteRepair(6);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Запустился.

    Спасибо огромное!

  • Уважаемый(ая) MrRewolwer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Рекламный модуль
      От SkyThunder в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.01.2011, 15:40
    2. Рекламный модуль
      От Leruel в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.07.2010, 16:55
    3. Рекламный модуль :(
      От Parker26 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.06.2010, 12:07
    4. Ответов: 4
      Последнее сообщение: 24.05.2010, 21:26
    5. рекламный модуль
      От somon в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.11.2009, 11:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01523 seconds with 19 queries