Trojan.AdSubscribe

При запуске кряка для Handy Weather (скачал на [url]http://auauau.ru/prog-h33.html[/url] ) поймал AdSubscribe,в самом кряке стоит галочка о лицензионном соглашении,принятие которого открывает доступ к установке вредоносного ПО AdSubscribe на ваш компьютер.
Просканировал комп Dr.WebCurelt,обнаружил AdSubscribe. и еще AdStopper, который как я считал, давно уже был удален. Dr.WebCurelt переместил их в карантин, выскакивание заставки прекратилось, но при следующем сканировании они обнаруживались снова.Просканировал систему Касперским Virus Removal Tool, полученный анализ прилагаю к сообщению
подскажите как избавится от угроз.

Выполните скрипт в AVZ
[code]begin
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи c помощью AVZ и HiJack

Всем добрейший денек!
Внимательно ознакомившись с правилами, начал с того, что загрузил AVZ, HijackThis и
выполнил три указанные скрипта, предварительно просканировал комп DrWeb launch
в безопасном режиме, при отключенном восстановлении системы сканер вирусов не обнаружил,но следующее сканирование при включенном восстановлении, показало
удвоенное количество вирусов. Изначально было 9, стало 18.Я вновь отключил восстановление системы, сканирование показало отсутствие вирусов, при следующем сканировании при включенном режиме восстановления, количество вирусов вновь увеличилось вдвое.Теперь уже стало 36. я удалил карантин и еще раз просканировал систему при включенном режиме восстановления, Результат – 36 вирусов. Другие утилиты (Spyware Doctor, ESET и Касперский) попросту не видят эти программы и файлы как инфекции.
Затем я выполнил рекомендованный вами скрипт, в нижнем окне появилось:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Drivers\mchlnjDrv/sis)
Карантин с использованием прямого чтения – ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\Drivers\mchlnjDrv/sis)
Карантин с использованием прямого чтения – ошибка
Я перешел в карантин и заархивировал все что там было.
Кажется я что-то напутал, в общем попытаюсь выслать что получилось,
До этого я пытался отослать карантин DrWeb,но тоже что-то не срослось.
Признаюсь, я полный чайник! С этим надо что-то делать!

Выполните скрипт:
[CODE]begin
QuarantineFile('C:\WINDOWS\system32\Drivers\PCTCore.sys','');
QuarantineFile('C:\Program Files\Search Settings\SearchSettings.exe','');
QuarantineFile('C:\Program Files\Prays24\prays24.exe','');
end.[/CODE]Карантин закачайте по правилам, тот файл оставьте в покое, плиз... :)

Все отправил, вроде получилось, если не так, подскажите где ошибся.

[QUOTE=suartex;417224]подскажите где ошибся.[/QUOTE]
Нигде :) Присланные файлы чистые.
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[/CODE]
Повторите логи
[b]
virusinfo_syscheck.zip
hijackthis.log [/b]

Все сделал, ниче не понял.

В логах ничего подозрительного.
Жалобы есть?

Обратите внимание на сообщение пользователя NeoNell - "Просит СМС, спасите от вымогателя!", Суть AdSubscribe аналогична,- выскаивает заставка сэкс шопа с самотыками на весь экран, кликаешь "отключить"- начинается отсчет 60 сек, и появляется предложение послать СМС на номер, ИЛИ!!!- 2 месяца будешь наблюдать самотыки и прочую дрянь (минуту наблюдаешь, три отдыхаешь) ИЛИ!!!- 1000кликов!. опять же минуту наблюдаешь, три отдыхаешь!Через три минуты, заставка самопроизвольно появляется вновь поверх всех окон, пока не кликнешь "отключить" отсчет минуты не начинается и эта дрянь торчит из монитора. Я бы пришел в ярость, если бы не мое чувство юмора! - Я бы смеялся от души, но мне не смешно. Dr.Web Curelt, решил проблему мгновенно, но он не может до конца удалить эту прогу, хотя она и не активна, но присутствует в карантине Dr.Web Curelt при каждом сканировании,кроме того, Dr.Web Curelt обнаружил еще одну программу SuperAX, некогда уже удаленную,и характеризуемую как вредоносное ПО,прописавшуюся в системе аналогично AdSubscribe. Можно конечно преспокойно сосуществовать с этой дрянью, т.к. она не активна, но тут вопрос принципа, идти до конца,именно этот принцип ИМХО и объединяет больных софтоманией, а приобретенный опыт - бонус за перенесенные страдания! Кстати! Если у кого-то возникли подобные проблемы, всем рекомендую произвести глубокое сканирование утилитой Dr.Web Curelt, ни один антивирусник не видит эти вирусы! (использовались NOD, Spyware Doctor, КAV).
Ко всему добавлю, что хочется разобраться в этой проблеме еще и потому, что этот вид вымогательства прогрессирует, и возможно уже завтра с этой проблемой сталкнется КАЖДЫЙ из нас,тем более, что вымогатели нашли отличную форму оправдания,они пишут, что таким образом оплачивается варез выложенный на этом сайте.(Лицензионное соглашение к кряку Handy Weather на [url]http://disinfected[/url] )

[QUOTE=suartex;417565]Обратите внимание на сообщение пользователя NeoNell [/QUOTE]Причем тут NeoNell? Вы прислали логи с Вашей машины. В них конкретно ничего плохого не видно, что впрочем не означает, что ничего плохого нет.

Вы спросили про жалобы , я изложил суть проблемы и она аналогична проблеме NeoNell.

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 48 минут[/I][/B][/color][/size]

Всем спасибо, с проблемой разобрался самостоятельно

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]