Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Рекламные окна, авторефреш ya.ru (заявка № 18170)

  1. #1
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59

    Question Рекламные окна, авторефреш ya.ru

    С недавнего времени при серфе инета на некоторых сайтах стало открываться рекламное окно (вы выиграли, бла-бла-бла), страница ya.ru при поиске выводит результаты и начинает быстро обновляться.
    Инет чуть-чуть медленнее чем обычно работает (не провайдер).

    ---

    unl-cdv1.1trn.exe - не вирус. Трейнер на игру. Проблема началась задолго после его использования.
    Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\mLs25mY3.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\AgCPanelJapanesec.exe','');
     QuarantineFile('C:\WINDOWS\system32\basepbq32.dll','');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
     DeleteFile('C:\WINDOWS\system32\mLs25mY3.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=18170).
    I am not young enough to know everything...

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('Schedule', 4);
     QuarantineFile('C:\WINDOWS\system32\mLs25mY3.exe','');
     QuarantineFile('C:\WINDOWS\system32\AgCPanelJapanesec.exe','');
     QuarantineFile('C:\WINDOWS\system32\basepbq32.dll','');
     DeleteFile('C:\WINDOWS\system32\AgCPanelJapanesec.exe');
     DeleteFile('C:\WINDOWS\system32\mLs25mY3.exe');  
     BC_ImportALL;
     BC_DeleteSvc('smtpdrv');
     BC_DeleteSvc('W32TimeW32Time');     
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Потом ещё один
    Код:
    function _DecHex( Dc : Integer) : String;
    begin Result := Copy('0123456789abcdef',Dc+1,1); end;
    function DecHex( Dec : Integer) : String;
    var Di,D1,D2 : integer;
    begin
     Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
     If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
    end;
    procedure ParseString (S : TStringList; SS : String; SSS : String );
    var i,l : integer;
    begin
      i := Pos(SSS,SS); l := Length(ss);
      If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
      s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
    end;
    var SL,SF : TStringList; SS, SSS : String; i : integer;
    begin
     SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
     SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
     ParseString (SL,SS,' ');
     for i := 0 to SL.Count - 1 do Begin
       SS := SL[i];
       If Pos('ServerDll=base',SS) > 0 Then Begin
         If SS <> 'ServerDll=basesrv,1' Then Begin
    	 AddToLog('Infected "SubSystem" value : ' + SS);
    	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
    	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
         end;
      end;
     end;
     SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
     If SSS <> '' Then Begin
      i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
      SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
      AddToLog('Infection name : ' + SSS + '.dll');
      SetAVZGuardStatus(True);
      If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
      SF.Add('REGEDIT4'); SF.Add('');
      SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
      SSS := '"Windows"=hex(2):';
      for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
      SSS := SSS + '00';  SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
      ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
      SaveLog(GetAVZDirectory + 'SubSystems.log');
      RebootWindows(false);
     end;
    SL.Free; SF.Free;
    End.
    Загрузите карантин согласно приложению №3 правил.

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Повторите логи. Прикрепите также SubSystems.log из папки AVZ.

  5. #4
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59
    Выполнил все скрипты. Загрузил карантин. Прикрепить сабсистемс.лог не могу - пишет нет прав. Логи пока что не стал повторять.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Удалите все задания в Планировщике и сделайте новые логи.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59
    Поставил логи на выполнение.
    Только как их загрузить, если "нет прав"?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Попробуйте выйти из форума и залогиниться снова.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59
    Попробовал. Не помогло.

    (скрипты выполняются)

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Залейте на virusinfo.ifolder.ru
    Ссылки сюда

  11. #10
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59
    Извините, опять забыл про восстановление системы.

    Новые логи сделал, но вот на "йапапко" их тоже не загрузить - все время "страница не найдена" при загрузке.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    ну любой другой файлообменник

  13. #12

  14. #13
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    ОТКЛЮЧИТЕ восстановление системы - там враги.
    В карантине - C:\WINDOWS\system32\mLs25mY3.exe - Trojan-Downloader.Win32.Firu.bq, C:\WINDOWS\system32\AgCPanelJapanesec.exe - Trojan-Downloader.Win32.Small.iby и basepbq32.dll - Trojan.Win32.Agent.fpb
    Не всех убили. Выполните в АВЗ.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('W32TimeW32Time', 4);
     StopService('W32TimeW32Time');
     QuarantineFile('C:\WINDOWS\system32\AgCPanelJapanesec.exe','');
     QuarantineFile('C:\Documents and Settings\C. Four\Рабочий стол\unl-cdv1.1trn.exe','');
     DeleteFile('C:\WINDOWS\system32\AgCPanelJapanesec.exe');
     BC_DeleteFile('C:\WINDOWS\system32\AgCPanelJapanesec.exe');
     DeleteFile('C:\System Volume Information\_restore{B72D43DC-3FD3-49AB-8C84-57AFB53E9B99}\RP140\A0068709.exe');
    DeleteService('W32TimeW32Time');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузите карантин согласно приложения 3 правил
    Повторите логи.

  15. #14
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59
    Отключил восстановление, выполнил скрипт, включил восстановление, выслал карантин, логи позже чуток.

  16. #15
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    nl-cdv1.1trn.exe - чистый.

  17. #16
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59
    А в чем вред AgCPanelJapanesec.exe ?
    Видел подобный файл, только с другим языком. AgCPanel<.....>.
    Это с софтиной поставляется. AGEIA PhysX System Tray String Table.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    AgCPanelJapanesec.exe загрузчик троянов в вашем случае

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Не доверяете вирлабу?
    Trojan-Dropper — инсталляторы прочих вредоносных программ

    Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.

    Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

    Обычно структура таких программ следующая:Основной код
    Файл 1
    Файл 2
    ...


    «Основной код» выделяет из своего файла остальные компоненты (файл 1, файл 2, ...), записывает их на диск и открывает их (запускает на выполнение).

    Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.

    В результате использования программ данного класса хакеры достигают двух целей:

    скрытная инсталляция троянских программ и/или вирусов;
    защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
    ну ну
    Microsoft Most Valuable Professional in Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59
    И как же эта компания может позволить себе сбрасывать подобные трояны, если сама выпускает физические ускорители?

  21. #20
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    59
    Между строк - сколько бы раз я не пытался исправить "Таймаут завершения служб находится за пределами допустимых значений", "оно" появляется снова. Не фиксит авз эту проблему...

  • Уважаемый(ая) nismoxid, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 17
      Последнее сообщение: 11.01.2011, 06:46
    2. Ответов: 8
      Последнее сообщение: 22.02.2009, 08:39
    3. Остатки от троянов (рекламные окна)
      От hedindr в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.07.2008, 15:13
    4. Всплывающие рекламные окна
      От Marushka в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.01.2007, 14:06
    5. Ответов: 17
      Последнее сообщение: 12.04.2006, 11:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00777 seconds with 19 queries