Показано с 1 по 20 из 20.

Помогите избавиться от всплывающих окон. (заявка № 6074)

  1. #1
    dimaskes
    Guest

    Помогите избавиться от всплывающих окон.

    Касперский не помогает, у меня ADSL, после переустановки windows через 2 дня начали всплывать окна в больших количествах с иностранной рекламой. Переодически, рабочие окна переадресовываются на пустые страницы типа surfsidekick.com
    пробовал программу spysubtract, тоже не помогла.
    Провел тестирование по Вашим правилам
    Надеюсь на Вашу помощь,
    Спасибо заранее!!

    virusinfo_syscheck.zip

    virusinfo_syscure.zip

    hijackthis.log

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    найти и прислать :

    C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS
    C:\WINDOWS\avantage32.exe
    C:\Program Files\Common Files\{205B8121-0AE6-1049-1005-040512200007}\Update.exe
    C:\PROGRA~1\STEM~1\taskmgr.exe { Обратить внимание , именно с этого места файл прислать !!!}
    C:\Program Files\SurfSideKick 3\SskBho.dll
    C:\\kybrdff_11.exe
    C:\\dfndrff_11.exe
    C:\\nwnmff_11.exe
    C:\WINDOWS\thiselt.exe
    mssecure.exe
    C:\Program Files\SurfSideKick 3\Ssk.exe
    mssvcc.exe
    C:\Documents and Settings\Owner\Мои документы\sуstem\іexplore.exe
    { Обратить внимание , именно с этого места файл прислать !!!}
    C:\WINDOWS\System32\wltrysvc.exe
    C:\Program Files\SurfSideKick 3\SskCore.dll
    C:\Program Files\SurfSideKick 3\SskBho.dll
    C:\WINDOWS\System32\BCMLogon.dll
    C:\WINDOWS\System32\ddaby.dll
    C:\WINDOWS\System32\repairs303169590.dll
    C:\WINDOWS\System32\w002db23.dll
    C:\WINDOWS\System32\wdqcf166.dll
    C:\WINDOWS\system32\yaywxyv.dll
    \SystemRoot\System32\Drivers\dump_WMILIB.SYS
    \SystemRoot\System32\DRIVERS\mdc8021x.sys
    \SystemRoot\System32\Drivers\dump_atapi.sys
    C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe

    У каспера расширенные базы стоят ? Если нет , то поставить и просканировать
    в безопасном режиме .
    Меньше руками придёться выдирать .
    Последний раз редактировалось drongo; 19.08.2006 в 08:47.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от dimaskes
    Касперский не помогает, у меня ADSL, после переустановки windows через 2 дня начали всплывать окна в больших количествах с иностранной рекламой. Переодически, рабочие окна переадресовываются на пустые страницы типа surfsidekick.com
    пробовал программу spysubtract, тоже не помогла.
    обобщу и дополню вышесказанное drongo.

    прислать по правилам форума файлы (искать из программы AVZ, со включенным противодействием руткитам!):
    C:\Documents and Settings\Owner\Мои документы\sуstem\?explore.exe
    (вот здесь вместо знака вопроса может стоять произвольный символ)
    C:\Program Files\SurfSideKick 3\SskBho.dll
    C:\Program Files\SurfSideKick 3\SskCore.dll
    C:\Program Files\SurfSideKick 3\Ssk.exe
    mssvcc.exe
    mssecure.exe
    C:\kybrdff_11.exe
    C:\dfndrff_11.exe
    C:\nwnmff_11.exe
    C:\hkoue.exe
    C:\WINDOWS\thiselt.exe
    C:\WINDOWS\avantage32.exe
    C:\PROGRA~1\STEM~1\taskmgr.exe
    C:\WINDOWS\System32\csrs.exe
    C:\WINDOWS\System32\w002db23.dll
    C:\WINDOWS\System32\repairs303169590.dll
    C:\WINDOWS\System32\ddaby.dll
    C:\WINDOWS\System32\yaywxyv.dll
    C:\WINDOWS\system32\fpr0039me.dll
    C:\WINDOWS\System32\wltrysvc.exe
    C:\WINDOWS\System32\bcmwltry.exe
    C:\WINDOWS\system32\kxdro.dll
    C:\WINDOWS\system32\ktdic.dll
    C:\WINDOWS\system32\pyofmap.dll
    C:\WINDOWS\system32\mxrle32.dll
    C:\WINDOWS\system32\bgotvid.dll
    C:\WINDOWS\system32\aukctrs.dll
    C:\WINDOWS\system32\wrnsock.dll
    C:\WINDOWS\system32\sxgtab.dll
    C:\WINDOWS\system32\guard.tmp
    C:\WINDOWS\system32\sjmapi.dll
    C:\WINDOWS\system32\mqpmspsv.dll
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\YB5C1043\drsmartload255a[1].exe
    C:\Program Files\Deskbar\deskbar.dll
    C:\program files\common files\{205b8121-0ae6-1049-1005-040512200007}\update.exe



    пофиксить с помощью HijackThis указанные ниже строки:
    R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Program Files\SurfSideKick 3\SskBho.dll
    O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
    O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
    O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_11.exe
    O4 - HKLM\..\Run: [defender] C:\\dfndrff_11.exe
    O4 - HKLM\..\Run: [wdqcf166] RUNDLL32.EXE w002db23.dll,n 002cf1640000000a002db23
    O4 - HKLM\..\Run: [newname] C:\\nwnmff_11.exe
    O4 - HKLM\..\Run: [pop06apelt] C:\WINDOWS\thiselt.exe
    O4 - HKLM\..\Run: [secures23] mssecure.exe
    O4 - HKLM\..\Run: [SurfSideKick 3] C:\Program Files\SurfSideKick 3\Ssk.exe
    O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
    O4 - HKLM\..\RunServices: [secures23] mssecure.exe
    O4 - HKCU\..\Run: [Rmcb] "C:\PROGRA~1\STEM~1\taskmgr.exe" -vt yazb
    O4 - HKCU\..\Run: [SurfSideKick 3] C:\Program Files\SurfSideKick 3\Ssk.exe
    O15 - Trusted Zone: *.elitemediagroup.net
    O15 - Trusted Zone: *.media-motor.net
    O15 - Trusted Zone: *.mmohsix.com
    O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
    O23 - Service: Microsoft Windows Avantage Service (Windows Avantage) - Unknown owner - C:\WINDOWS\avantage32.exe
    O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

    присылайте все файлы из списка, которые удастся найти. файлов может получиться много, можете присылать по частям. по мере поступления файлов будем давать рекомендации по лечению.

  5. #4
    dimaskes
    Guest
    У меня Касперский 5.0.123, на него расширенные базы не становятся, (у меня по крайней мере ),
    Фалы нашлись не все, но те которые нашлись выкладываю.
    И еще извините за глупый вопрос, что такое "пофиксить строки", как это сделать просмотрел HiJack, так и не понял.
    (файлы выложил здесь: webfile.ru/1065748, извините, если не по правилам, файл 2 мб. во вложение не влезает)
    Спасибо!
    С уважением, dimaskes/

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Найдите способ подключить расширенные базы (это должно быть в настройках). У Вас известная адварь с DollarRevenue, касперский ее должен знать.
    "Пофиксить" - это после проверки в hijackthis в окне этой программы отметить птичками указанные строки (внимательно, только их !) и нажать кнопку "Fix ..".

    P.S. Пока нет ответа из вирус-лабов, удалите отложенным удалением из AVZ файл
    C:\WINDOWS\avantage32.exe
    Это однозначно троян (видимо, бэкдор), но его пока никто не знает. Проверил - безопасно, можно удалять.

    Если квалификация позволяет, можно почистить его следы в реестре. Если нет - лучше этого пока не делайте.

    Удалить полностью ветки:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Windows Avantage]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINDOWS_AVANTAGE]
    и содержащийся внутри него:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINDOWS_AVANTAGE\0000]
    "Service"="Windows Avantage"
    "Legacy"=dword:00000001
    "ConfigFlags"=dword:00000000
    "Class"="LegacyDriver"
    "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    "DeviceDesc"="Microsoft Windows Avantage Service"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C23104 8-7C23-1048-7C23-10487C231048}]
    Последний раз редактировалось Alexey P.; 20.08.2006 в 01:13.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Похоже, лаборатория DrWeb ваш архивчик посмотрела.
    Код:
    C:\WINDOWS\system32\w002db23.dll - Trojan.DownLoader.10919
    C:\WINDOWS\system32\yaywxyv.dll - Trojan.Virtumod
    C:\WINDOWS\system32\ddaby.dll -  Trojan.Virtumod
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\YB5C1043\drsmartload255a[1].exe - Adware.DollarRevenue
    C:\hkoue.exe - Adware.DollarRevenue
    C:\WINDOWS\System32\repairs303169590.dll - Adware.Surfside
    C:\Program Files\SurfSideKick 3\Ssk.exe - Adware.Surfside
    C:\Program Files\Deskbar\deskbar.dll - Adware.Softomate
    C:\Program Files\SurfSideKick 3\SskBho.dll - Adware.Surfside
    C:\Program Files\SurfSideKick 3\SskCore.dll - Adware.Surfside
    C:\Documents and Settings\Owner\Мои документы\sуstem\іexplore.exe - Adware.ClickSpring
    C:\Program Files\ѕуstem\taskmgr.exe - Adware.ClickSpring
    C:\WINDOWS\avantage32.exe - Win32.HLLW.MyBot
    Удаляйте их последовательно через AVZ меню Файл->«Отложенное удаление». И утилитой CureIt! пройтись по всему диску С не помешает.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Да, в 18:40 пришел ответ об обработке, обновление баз и соответствующий cureit уже точно вышли.
    От касперски лаб пока ответа нету, хоть и отправлял обоим почти одновременно.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Пришел ответ и от касперски лаб. Всего через 6 дней после отправки.
    Здравствуйте.
    В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
    Его детектирование будет включено в очередное обновление антивирусных баз. Детектирование еще трех файлов будет
    добавлено в ближайшее время.
    Благодарим за оказанную помощь.
    ---------
    С уважением, Алексей Маланов
    Вирусный аналитик
    ЗАО "Лаборатория Касперского"
    Ожидалось быстрее, конечно. Но что есть, то и есть.

  10. #9
    dimaskes
    Guest
    Спасибо всем за участие!
    Компьютер был вылечен специалистами - коллегами из отдела ИТ моей корпорации. С их слов вирус был в ядре Виндов, лечили переустановкой системы, сразу поставили расширеного Каспера. При первом выходе в интернет Каспер убил 28 вирусов в текущих файлах.
    Подскажите что сделать, чтобы вирусы не лезли. У меня ADSL, возможно ли им предъявить претензию?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от dimaskes
    лечили переустановкой системы, сразу поставили расширеного Каспера. При первом выходе в интернет Каспер убил 28 вирусов в текущих файлах.
    Что Вы понимаете под текущими файлами: Файлы, которые текут из интернета или файлы, которые Вы скопировали на диск после переустановки системы?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от dimaskes
    Компьютер был вылечен специалистами - коллегами из отдела ИТ моей корпорации. С их слов вирус был в ядре Виндов, лечили переустановкой системы,
    сразу видно - специалисты, раз лечат переустановкой Виндов. особенно порадовал "вирус в ядре", поскольку там не было вируса, а что было, то было не в ядре.

    Цитата Сообщение от dimaskes
    Подскажите что сделать, чтобы вирусы не лезли. У меня ADSL, возможно ли им предъявить претензию?
    напишите в спортлото (с) Высоцкий

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    При первом выходе в интернет Каспер убил 28 вирусов в текущих файлах.
    Интересно посмотреть на список. Касперский все свежие логи хранит.
    Подскажите что сделать, чтобы вирусы не лезли.
    http://virusinfo.info/showpost.php?p=36427&postcount=1
    У меня ADSL, возможно ли им предъявить претензию?
    Какую претензию? У вас в договоре есть пункт об обязательствах првовайдера проверять HTTP, FTP и др. трафик?

  14. #13
    dimaskes
    Guest
    Цитата Сообщение от Rene-gad
    Что Вы понимаете под текущими файлами: Файлы, которые текут из интернета или файлы, которые Вы скопировали на диск после переустановки системы?
    То что притекло из интернета.

  15. #14
    dimaskes
    Guest
    Цитата Сообщение от MOCT
    сразу видно - специалисты, раз лечат переустановкой Виндов. особенно порадовал "вирус в ядре", поскольку там не было вируса, а что было, то было не в ядре.

    напишите в спортлото (с) Высоцкий
    Ирония, вещь хорошая, согласен!
    В терминологии не силен, поскольку о нее далек, но после 2-х дней цикличной перезагрузки Винда, ничего другого, кроме как переустановить систему не оставалось, мне компьютер нужен для работы, а не для опытов.

  16. #15
    dimaskes
    Guest
    Цитата Сообщение от AndreyKa
    Интересно посмотреть на список. Касперский все свежие логи хранит.
    Report.txt

    за ссылку спасибо!

    Цитата Сообщение от AndreyKa
    Какую претензию? У вас в договоре есть пункт об обязательствах првовайдера проверять HTTP, FTP и др. трафик?
    Такого пункта нет. Вопрос может и дурацкий, но я далек от основ вирусо - гадостных дел, прошу делать на это скидку.
    Гадость лезет сразу после соединения, кучками.
    Последний раз редактировалось dimaskes; 25.08.2006 в 23:55.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от dimaskes
    Гадость лезет сразу после соединения, кучками.
    http://www.viruslist.com/ru/news?id=145739455
    Кучами и тучами, я бы сказал.
    Стройными колоннами заходят все желающие поживится вашими паролями и превратить ваш компьютер в зомби, рассылающий спам.
    Цитата Сообщение от dimaskes
    Компьютер был вылечен специалистами - коллегами из отдела ИТ моей корпорации.
    Было бы смешно, если не было бы так грустно.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Везет же людям.
    У меня в тарифах провайдера на относительно дешевый домашний ADSL есть такая строка:
    Осуществляется фильтрация трафика по портам: 25 (кроме сервера Провайдера), 135-139, 445, 5000
    Вот из-за этого червей нет. То есть ВООБЩЕ нет.
    Ну, и из-за блокировки 25 порта все проверенные спам-боты (несколько сотен) обломились с рассылкой.
    Просто, но эффективно, как лом.

    ЗЫ: dimaskes, а вот Вам провайдер вполне может предъявить претензии согласно договора. Если не обеспечите должной защиты своего компьютера и он будет использован для рассылки спама/атак на другие компьютеры.
    Обычно мера воздействия с их стороны - отключение до устранения Вами нарушений. За отдельную плату возможна помощь со стороны работников техподдержки провайдера.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от dimaskes
    Ирония, вещь хорошая, согласен!
    В терминологии не силен, поскольку о нее далек, но после 2-х дней цикличной перезагрузки Винда, ничего другого, кроме как переустановить систему не оставалось, мне компьютер нужен для работы, а не для опытов.
    в постах 5 и 6 было сказано, что же нужно делать для того, чтобы вылечить компьютер. при этом никакая переустановка системы и всех прочих программ не требуется.

    если же вы игнорируете все советы, то может быть не стоит тратить свое и чужое время попусту и надо сразу же переустанавливать систему? кстати, после переустановки система отнюдь не стала чище, просто в ней появились новые заразы, за что скажите спасибо своим специалистам.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    Лучший способ борьбы с заразой переустановка Винды!

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Угу. Раз пять в день - должно помочь .

  • Уважаемый(ая) dimaskes, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Как избавиться от этих окон?
      От andre1122 в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 24.01.2010, 18:47
    2. Как избавиться от этих окон?
      От andre1122 в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 24.01.2010, 10:48
    3. Как остановить всплывающих объявлений ...?
      От icotonev в разделе Сетевые атаки
      Ответов: 3
      Последнее сообщение: 05.09.2009, 19:04
    4. по поводу всплывающих флэш окон
      От Starky в разделе Софт - общий
      Ответов: 1
      Последнее сообщение: 31.08.2007, 14:46
    5. Защита от всплывающих окон
      От Virus-user в разделе Межсетевые экраны (firewall)
      Ответов: 5
      Последнее сообщение: 07.03.2006, 09:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00628 seconds with 17 queries