Adware.FieryAds.20(16)

[Note]

Компьютер нормально работал не выключаясь примерно 8-10 суток (шли вычисления) подруга попросила скачать книжку, с книгой пришло вот это чудо. На третьи сутки после скачки данных файлов машина выдала синий экран смерти, после перезагрузки пропал рабочий строл, панель задач.
Отвечал только диспечер задач. Усатновленный Нод 32 и в последсвии установеленный касперский 7 версии ничего не нашли, скачал Курей от Др. Веба он благополучто все обнаружил и отчитался, что удалил. Последовала перезагрузка, появился рабочий стол, но вот панели задач так и небыло, IE перестал открываться. позже покапавшись в интернете с помошью твика всетаки удалось вернуть панель задач, но толком она не работает, когда сворачиваешь окна они просто исчезают.
Позже выяснил, что на компьютере запущенно только 8 служб, при запуске mmc выдает ошибку ieframe. скачал с интернета и заменил, теперь ругаеться на kernel32.dll.
До совсем забыл, консоль востановления тоже не загружаеться, выдает синий экран.((
Отправил вирус в карантин.
Файл сохранён как 090621_204752_Quarantine_4a3e6438dd47f.zip
Размер файла 6645199
MD5 3fd6758a23ef3a9a47225bfedc7be1c9

virusinfo_cure.zip несмог добавить:
Ваш файл занимает 4.87 Мб байт, что превышает предел на форуме в 1.91 Мб для этого типа файла.

[Rene-gad]

virusinfo_cure.zip не_смог добавить:Ваш файл занимает 4.87 Мб байт...

Когда Вы будете читать и соблюдать правила раздела Помогите и русской грамматики - у Вас будет меньше проблем

4. Откройте тему в разделе "Помогите" .... вложите в сообщение файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log) - всего должно быть 3 лога.

*Обратите внимание! Если в результате работы скрипта будут обнаружены подозрительные файлы, они будут сохранены в архиве virusinfo_cure.zip. Этот архив необходимо отличать от архива с протоколом исследования системы virusinfo_syscure.zip и загружать на форум только в том случае, если вас об этом попросили.

Оч. просим
- 3 - й лог
- virusinfo_cure.zip - сюда: http://virusinfo.info/upload_virus.php?tid=48434

[Note]

фаил загружен

[Rene-gad]

A0048396.exe_ - not-a-virus:RemoteAdmin.Win32.WinVNC-based.c

Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.

Системное восстановление не выключено..

Book_1123.exe_ - Trojan-Downloader.Win32.Adload.giw,
Book_3453.exe_ - Trojan-Downloader.Win32.Adload.gix,
Book_9768.exe_ - Trojan-Downloader.Win32.Adload.giy

Детектирование файлов будет добавлено в следующее обновление.

новенькие...

Удалите Spyware Process Detector- это гадость
Решите, какой Антивирус у Вас будет установлен - есть следы НОД и Авиры.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://dt-updates.com/activate?query=z9dbo9XThUiLzIOotGu2MsN%2bP%2bNc2bvbAIZmID8v55U0sEkrM1umDcGS2BAGf0xaK%2fzQ8SCLIlIwhveGqsFYzIOa4On7xPYrTpe2hzFPY2fnjbaOU0lG2IasTyh5HQbqOGn6bay4ipo5Phn%2fyGPXTHMvSK2P3BvUASKIKzGRyD53czuVulSn1HDROd7InCKjlA0jgSrc1WiNZB2nY7N%2fGngRGj4h%2f3lNCk6J4yOhM4wPBh%2bV23uKwbAfvFdHL5z82uRKM7BqB2sV%2bZJFU7oY1ejGmz%2fzMSsPGq2Sd3PVGo4i7L9sKvL1Lx3sgpwtRqIp
O4 - HKCU\..\Run: [spdetector3] C:\Program Files\Spyware Process Detector\spd316.exe TRAY

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\spyware process detector\spd316.exe');
 StopService('spd3ssl');
 QuarantineFile('C:\Program Files\Spyware Process Detector\spd316.sys','');
 QuarantineFile('C:\Program Files\Spyware Process Detector\spd316.exe','');
 QuarantineFile('C:\DATA\FILES\BEAST.exe','');
 QuarantineFile('C:\Program Files\Spyware Process Detector\spd316.dll','');
 DeleteFile('C:\Program Files\Spyware Process Detector\spd316.dll');
 DeleteFile('C:\DATA\FILES\BEAST.exe');
 DeleteFile('C:\Program Files\Spyware Process Detector\spd316.exe');
 DeleteFile('C:\Program Files\Spyware Process Detector\spd316.sys');
 DeleteService('spd3ssl');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('spd3ssl');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Note]

Да, но существет одно "НО" Internet Explorer не запускается, вернее запускается и сразу пропадает.

[Rene-gad]

Да, но существет одно "НО" Internet Explorer не запускается, вернее запускается и сразу пропадает.

Запустите другой проводник - Опера или Модзилла.

[Note]

помогите отключить - Системное восстановление.

[Rene-gad]

помогите отключить - Системное восстановление.

Читайте правила - там все написано.

[Note]

Windows XP:
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" - отсутвует. Имеются вкладки: Общие, Имя компьютера, Оборудование, Дополнительно, Автоматическое обновление, Удаленные сеансы.

[Rene-gad]

Оставьте включенным, делайте скрипт и логи.

[Note]

Прикрепил повторные логи, и карантин закачан.
Результат загрузки Файл сохранён как 090622_125411_Quarantine_4a3f46b353f11.zip
Размер файла 5987046
MD5 e8dd24560d6c6c0f2235d1373c9b5547

[Rene-gad]

Сделайте логи special avz (ссылка в подписи) и лог gmer (см. инструкцию в разделе Чаво).

[Note]

выкладываю очередные логи
Интерсно остаеться еще возможность востановить систему?

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows.0\system32\snmp.exe','');
 DelCLSID('{67KLN5J0-4OPM-01WE-AAX5-314CCA322142} ');
 QuarantineFile('C:\DATA\FILES\BEAST.exe','');
 DeleteFile('C:\DATA\FILES\BEAST.exe');;
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('spd3ssl');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Интересно остается еще возможность восстановить систему?

Посмотрим, что будет после выполнения скрипта.

[Note]

Логи

[Rene-gad]

Решите, какой Антивирус у Вас будет установлен - есть следы НОД и Авиры.

Решили?
В логах ничего подозрительного не видно. Проблема не решилась?

[Note]

проблем еще целая куча:
1) не работает звук только черезв нутренний динамик - система говорит что звуковая карта отсутсвует, хотя во вкладке обородувание все нормально.
2) панель правления все также не функционирует.
3) при запуске IE появляеться только ярлык на рабочем столе.
4) вклажка с службами не открыветься пишет ошибка Kernel32.dll
5) не загружаеться с консоли востановления (синий экран).
6) не запускаеться ни один компонет офиса выдеат ошибки.
работает нормально только VLC и AIMP2, Opera.

По антивирусу толком еще не решил, наверное будет касперский.

[Rene-gad]

Мдя, судя по всему - тут проблема не вирусного характера.
На всяк случай: Сделайте еще проверку на файловые вирусы: http://virusinfo.info/showthread.php?t=15927

[Note]

проверка ничего не дала, вам огромное спасибо буду переустанавливать систему

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 53
• В ходе лечения обнаружены вредоносные программы:
  
  1. \quarantine\a0048396.exe - not-a-virus:RemoteAdmin.Win32.WinVNC-based.c
  2. \quarantine\book_1123.exe - Trojan-Downloader.Win32.Adload.giw ( DrWEB: archive: Adware.FieryAds.16 )
  3. \quarantine\book_3453.exe - Trojan-Downloader.Win32.Adload.gix ( DrWEB: archive: Adware.FieryAds.16 )
  4. \quarantine\book_9768.exe - Trojan-Downloader.Win32.Adload.giy ( DrWEB: archive: Adware.FieryAds.16 )
  5. \quarantine\ktbz9cbz.exe.part - Trojan-Downloader.Win32.Adload.gix ( DrWEB: archive: Adware.FieryAds.16 )
  6. \quarantine\support.exe - not-a-virus:RemoteAdmin.Win32.WinVNC-based.c
  7. \quarantine\support0.exe - not-a-virus:RemoteAdmin.Win32.WinVNC-based.c