-
Junior Member
- Вес репутации
- 50
Не могу убрать рекламный модуль просмотра эро-видео сайта pornhub.com
Здравствуйте!
Поймал эту гадость, не могу избавиться. Перепробовал все коды, какие только нашел. Ниодин не подошел. В безопасном режиме этот модуль тоже запускается, так что не представляю как я смогу отделаться от этой беды. Чтобы отключить этот модуль, просят пополнить счет 004245166373 на 246 рублей. Картинка выглядит как открытое окно IE в котором три фотки девушек и текст с пояснением что это и как убрать, а ниже есть поле с кнопкой "Отключить".
В общем, пишу со своего же компа, только загруженного с WinXP Live CD. Все инструменты, перечисленные в инструкции, я уже скачал. Не знаю только что дальше делать. Ведь, как я понял, для всех операций с утилитами лечилками нужна система что в компе а не LiveCD. А как это сделать, если этот проклятый модуль ничего не дает сделать?
Заранее спасибо, буду ждать каких-нибудь инструкций от хелперов.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А какие могут быть инструкции? Сделайте Live CD на другом компе или переставьте Ваш хард в другой комп и пролечитесь.
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
Rene-gad
А какие могут быть инструкции? Сделайте Live CD на другом компе или переставьте Ваш хард в другой комп и пролечитесь.
В том-то и дело, что нету другого компа. Я с Live CD загружаюсь. Для этих операций подойдет любой Live CD? И так ли необходимо грузиться в безопасном режиме, или можно обойтись и как-нибудь так? Хотел бы уточнить процедуру "пролечения" в таких условиях.
-
1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Параметр userinit: C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Anton \LOCALS~1\Temp\tempsys.exe
Параметр Shell: Explorer.exe
Последний раз редактировалось Rene-gad; 14.08.2010 в 11:09.
Причина: оверквотинг удалён
-
Сообщение от
antokarpo
Параметр userinit: C:\WINDOWS\system32\userinit.exe,
Оставьте такое значение, а хвост из записи в реестре удалите
Пробуйте загружаться и делать логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Последний раз редактировалось Rene-gad; 14.08.2010 в 11:08.
Причина: оверквотинг удалён
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Anton\ctfmon.exe','');
DeleteFile('C:\Documents and Settings\Anton\ctfmon.exe');
QuarantineFile('C:\DOCUME~1\Anton \LOCALS~1\Temp\tempsys.exe','');
DeleteFile('C:\DOCUME~1\Anton \LOCALS~1\Temp\tempsys.exe');
QuarantineFile('C:\thumbs.db','');
QuarantineFile('C:\Program Files\IEUpdate\ieupdate.dll','');
QuarantineFile('C:\windows\explorer.exe','');
DeleteFile('C:\thumbs.db');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Последний раз редактировалось Rene-gad; 14.08.2010 в 11:08.
Причина: оверквотинг удалён
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\reklosoft_adw.helper_bar (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.helper_bar.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.helper_bho (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.helper_bho.1 (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\testbho.cmainbho (Trojan.GoogleStartNet) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{0b57905e-faa4-4ea6-a660-164a0f2e94ef} (Trojan.GoogleStartNet) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{80c9f50d-9ecd-436b-a087-1b66f43bdd26} (Trojan.GoogleStartNet) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9dc7b255-c5b5-4da0-81fc-d6b70feb8fc5} (Trojan.GoogleStartNet) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9dc7b255-c5b5-4da0-81fc-d6b70feb8fc5} (Trojan.GoogleStartNet) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9dc7b255-c5b5-4da0-81fc-d6b70feb8fc5} (Trojan.GoogleStartNet) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dc7b255-c5b5-4da0-81fc-d6b70feb8fc5} (Trojan.GoogleStartNet) -> No action taken.
HKEY_CLASSES_ROOT\testbho.cmainbho.1 (Trojan.GoogleStartNet) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e743cf05-181c-4d72-b4ee-95435ed4b86b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f1287389-b2fe-4315-8484-540b2033646d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{d96fa298-1bb6-47fc-ad21-72781b744dc3} (Adware.Reklosoft) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ffffe708-b832-42f1-baff-247753b5e452} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{2552632f-867d-4052-b836-7f83a5302534} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{71e59d37-d7fc-4ed6-bc1d-d13be02fe6c5} (Trojan.Kerlofost) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{71e59d37-d7fc-4ed6-bc1d-d13be02fe6c5} (Trojan.Kerlofost) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\AppID\rs_adw.DLL (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\SearchHelper (Adware.Reklosoft) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken.
Объекты реестра заражены:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
Зараженные папки:
C:\Documents and Settings\Anton\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66} (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences (Trojan.Kerlofost) -> No action taken.
Зараженные файлы:
C:\Program Files\IEUpdate\ieupdate.dll (Trojan.GoogleStartNet) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome.manifest (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\extension.reg (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\install.rdf (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\extensions.xul (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\logo.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.js (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.xul (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q_gray.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x_gray.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js.old (Trojan.Kerlofost) -> No action taken.
C:\Documents and Settings\Anton\Local Settings\Temp\tempsys.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\tempsys.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Anton\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\WINDOWS\Temp\Sidebar.exe (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
После этой процедуры лечение будет завершено?
Последний раз редактировалось Rene-gad; 14.08.2010 в 11:08.
Причина: оверквотинг удалён
-
Сообщение от
antokarpo
После этой процедуры лечение будет завершено?
После этой процедуры хотелось бы увидеть новый лог МВАМ, как сказано в инструкции по ссылке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Удалил все, что здесь написано. Вот новый лог
Последний раз редактировалось Rene-gad; 14.08.2010 в 11:08.
Причина: оверквотинг удалён
-
Порядок в этом логе
Пофиксите в HiJack (неоторых строчек может не быть)
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file).
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Пофиксил, что-то еще надо прислать?
Последний раз редактировалось Rene-gad; 14.08.2010 в 11:09.
Причина: оверквотинг удалён
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Тогда я понимаю, что уже все?
-
Больше ничего необычного не видно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-