Неизвестный контент FieryAds и CMedia

[Liuda]

Здравствуйте,

Обнаружен неизвестный доселе контент FieryAds и CMedia, который подозреваю был загружен с сайта по он-лайн фильмам.
Невозможно удалить эту фигню (простите) из Панели Управления. Сделала скриншоты.
При работе в Фаерфоксе все время скачут порно-сайты или окно с требованием что-то кликнуть, загрузить. Др. Веб вытащил троян AdSubscriber.153 (если правильно написАла) и удалил. Показал, что троян пришел через FieryAds.
Логи прилагаю.

PS. к сожалению, нет фотошопа, и скриншоты сделаны в ворде. Как его приложить?..

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
 DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
 DeleteFile('C:\DOCUME~1\LUDMIL~1.LUD\APPLIC~1\FieryAds\FieryAds.dll');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Повторите лог virusinfo_syscheck.

[Liuda]

Выполнила!

Скрипт..

[Aleksandra]

Ничего зловредного в логах нет. Что с проблемами?

[Liuda]

Программы все еще не удаляются из Панели Управления...

[Aleksandra]

Через поиск найдите папки FieryAds и CMedia. Удалите их содержимое вместе с ними. Потом попробуйте удалить их из Панели Управления...

[Liuda]

Через поиск - все файлы и документы - ничего не нашел!
Что еще можно попробовать?

Добавлено через 8 минут

Найден вот этот файл FIERYADSUNINSTALL.EXE-296EFCCB.pf
в Windows_Prefetch
Можно удалять?

[Aleksandra]

Что еще можно попробовать?

Лучше искать. Вы плохо искали.

[Liuda]

Найден вот этот файл FIERYADSUNINSTALL.EXE-296EFCCB.pf
в Windows_Prefetch
Можно удалять?

Добавлено через 8 минут

CMedia удалилась. Другой - нет..
Пишет что нужно удалить вначале ПО, с сылкой на Aldea.
Поиск Aldea тоже ничего не дал.

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
 DelBHO('B8F88615-A49E-4443-A26F-E97379BE1B1A');
 QuarantineFile('%AppData%\Aldea\Aldea.dll','');
 DeleteFile('%AppData%\Aldea\Aldea.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=58373

3. Пробуйте удалить...

[Liuda]

Файл сохранён как 091026_205403_2009-10-26_4ae5e23b4560e.zip
Размер файла 120
MD5 83eca474a83cc1b283374ab6ceade1a9

Добавлено через 3 минуты

файл не удаляется!
Все тоже самое..

пишет:нельзя удалить модуль"Платный контент Aldea", т.к. есть
следующие ограничения: платный контент,ограничение до 01.12.2009.
необходимо либо оплатить использование данного ПО,либо удалить его с компьютера,тогда удаление модуля Aldea станет возможным!

[Aleksandra]

1. Выполните скрипт в AVZ:

Код:

var
 Lines : TStrings;
 i : integer;
begin
 Lines := TStringList.Create;
 SearchFiles('%AppData%', 'Aldea.*', Lines, true, false);
 for i:= 0 to Lines.Count-1 do
  AddToLog(Lines[i]+', MD5='+CalkFileMD5(Lines[i])+
           ', Size='+inttostr(GetFileSize(Lines[i])));
 Lines.Free;
SaveLog(GetAVZDirectory + 'avz.log');
end.

2. Прикрепите лог avz.log из папки AVZ.

[Liuda]

"Скрипт выполнен без ошибок"

Лог в папке нет, поиск тоже ничего..

Добавлено через 4 минуты

два txt документа - avz и avz_log / оба путстые

[Aleksandra]

Должен быть. Вы плохо ищите. Даже если ничего не найдено, лог должен создастся.

Добавлено через 2 минуты

два txt документа - avz и avz_log / оба путстые

Значит файлик все же удалился. Попробуйте зайти в Панель Управления...

[Liuda]

А воз и ныне там, из панели управления не удаляется..
фигня какая-то

А что с тем файлом, который я нашла:
Добавлено через 56 секунд

Найден вот этот файл FIERYADSUNINSTALL.EXE-296EFCCB.pf
в Windows_Prefetch
Можно удалять?

[thyrex]

А после этого скрипта?

Выполните скрипт в AVZ

Код:

begin
DeleteFile('C:\DOCUME~1\LUDMIL~1.LUD\APPLIC~1\Aldea\Aldea.dll');
DeleteFileMask('C:\DOCUME~1\LUDMIL~1.LUD\APPLIC~1\Aldea', '*.*', true);
DeleteFileMask('C:\DOCUME~1\LUDMIL~1.LUD\APPLIC~1\FieryAds', '*.*', true);
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

[Aleksandra]

regedit'ом пользоваться умеете? Если умеете, то надо найти в реестре все упоминания о FieryAds, CMedia, Aldea и удалить. После перегрузится и попробовать снова...

[Liuda]

thyrex, Aleksandra Спасибо
Из Панели управления все удалилось.. Займусь завтра regedit'om!

[Liuda]

Приветствую,
Не занималась чисткой с момента последних ответов.. не было времени,
вчера вечером обнаружилось, что при входе в программу russiantvonline.com выпрыгивает порно-окно и блокирует доступ к десктопу, требуя ввести пароль.
При обычном заходе в файерфокс такого не присутствует.
Приложила логи.

Подскажите, плиз где чистить в регистре также?

[Rene-gad]

В логах ничего подозрительного.
- Очистите темп-папки, кэш проводников и корзину.
- Сделайте лог полного сканирования MBAM.