в браузере слева периодически выскакивает порно баннер. пжлт помогите.
в браузере слева периодически выскакивает порно баннер. пжлт помогите.
Уважаемый(ая) sick11, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
> Выполните скрипт в AVZ:
После выполнения скрипта компьютер будет перезагружен.Код:begin ClearQuarantine; if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; DeleteService('newdriver'); QuarantineFile('c:\windows\system32\drivers\o2flash.exe',''); QuarantineFile('C:\Windows\goj.dll',''); QuarantineFile('C:\Windows\iffhe.sys',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\taskhost.exe',''); QuarantineFile('C:\Users\Администратор\0.9113044516912381.exe',''); QuarantineFile('C:\Users\Администратор\0.5993509362841551.exe',''); QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\sojefos.exe',''); QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\ckltqra.exe',''); QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\099954~1.EXE',''); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\099954~1.EXE'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\ckltqra.exe'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\sojefos.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FFSystem'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeFlash'); DeleteFile('C:\Users\Администратор\0.5993509362841551.exe'); DeleteFile('C:\Users\Администратор\0.9113044516912381.exe'); DeleteFile('C:\Users\Администратор\AppData\Roaming\taskhost.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S5914826'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S17789114'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S410186'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S82190135'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\26067813FdOh'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','26068609'); DeleteFile('C:\Windows\iffhe.sys'); DeleteFile('C:\Windows\goj.dll'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(13); BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Исправьте при помощи hijackthis:
Очистите временные файлы и кэш DNS.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) O4 - HKLM\..\Run: [rundll32.exe] rundll32.exe goj.dll,Prkt O4 - HKCU\..\Run: [8503e02f0c80a38d] iexplore.exe O4 - Startup: AdLoader.lnk = C:\Windows\System32\cmd.exe O4 - Startup: AdobeLoaderdxurxf.lnk = C:\Windows\System32\cmd.exe O4 - Startup: AdobeLoaderhdrizx.lnk = C:\Windows\System32\cmd.exe O4 - Startup: AdobeLoadertueceo.lnk = C:\Windows\System32\cmd.exe O4 - Startup: AdobeLoadertxsusb.lnk = C:\Windows\System32\cmd.exe O4 - Startup: AdobeLoaderzjuebg.lnk = C:\Windows\System32\cmd.exe O4 - Startup: AdobeUpdate.lnk = C:\Windows\System32\cmd.exe O4 - Startup: eshxobdouble.lnk = C:\Windows\System32\cmd.exe O4 - Startup: htgjibdouble.lnk = C:\Windows\System32\cmd.exe O4 - Startup: JMicron.lnk = C:\Windows\System32\cmd.exe O4 - Startup: kilkfrdouble.lnk = C:\Windows\System32\cmd.exe O4 - Startup: sdvxbudouble.lnk = C:\Windows\System32\cmd.exe O4 - Startup: xkhododouble.lnk = C:\Windows\System32\cmd.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{13438A90-B03B-4D27-8D14-8258B3147AF8}: NameServer = 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{68C82284-D2E6-4C02-980F-2D2D855120B6}: NameServer = 37.157.255.228 O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 37.157.255.228 O17 - HKLM\System\CS1\Services\Tcpip\..\{13438A90-B03B-4D27-8D14-8258B3147AF8}: NameServer = 127.0.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{13438A90-B03B-4D27-8D14-8258B3147AF8}: NameServer = 127.0.0.1
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
_________________
> как выполнить скрипт в AVZ | > как исправить ("пофиксить") при помощи hijackthis
сделал все, что сказали, баннер исчез. Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\goj.dll - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Hosts.6989, BitDefender: Gen:Variant.Kazy.44812, AVAST4: Win32:Agent-AOKN [Trj] )
- c:\\windows\\iffhe.sys - HEUR:Virus.Win32.Generic ( DrWEB: Trojan.Packed.22381, BitDefender: Trojan.Generic.KDV.578237, NOD32: Win32/Qhost.OPL trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
Уважаемый(ая) sick11, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.