-
Помогите избавиться от всплывающих окон.
Касперский не помогает, у меня ADSL, после переустановки windows через 2 дня начали всплывать окна в больших количествах с иностранной рекламой. Переодически, рабочие окна переадресовываются на пустые страницы типа surfsidekick.com
пробовал программу spysubtract, тоже не помогла.
Провел тестирование по Вашим правилам
Надеюсь на Вашу помощь,
Спасибо заранее!!
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
найти и прислать :
C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS
C:\WINDOWS\avantage32.exe
C:\Program Files\Common Files\{205B8121-0AE6-1049-1005-040512200007}\Update.exe
C:\PROGRA~1\STEM~1\taskmgr.exe { Обратить внимание , именно с этого места файл прислать !!!}
C:\Program Files\SurfSideKick 3\SskBho.dll
C:\\kybrdff_11.exe
C:\\dfndrff_11.exe
C:\\nwnmff_11.exe
C:\WINDOWS\thiselt.exe
mssecure.exe
C:\Program Files\SurfSideKick 3\Ssk.exe
mssvcc.exe
C:\Documents and Settings\Owner\Мои документы\sуstem\іexplore.exe
{ Обратить внимание , именно с этого места файл прислать !!!}
C:\WINDOWS\System32\wltrysvc.exe
C:\Program Files\SurfSideKick 3\SskCore.dll
C:\Program Files\SurfSideKick 3\SskBho.dll
C:\WINDOWS\System32\BCMLogon.dll
C:\WINDOWS\System32\ddaby.dll
C:\WINDOWS\System32\repairs303169590.dll
C:\WINDOWS\System32\w002db23.dll
C:\WINDOWS\System32\wdqcf166.dll
C:\WINDOWS\system32\yaywxyv.dll
\SystemRoot\System32\Drivers\dump_WMILIB.SYS
\SystemRoot\System32\DRIVERS\mdc8021x.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe
У каспера расширенные базы стоят ? Если нет , то поставить и просканировать
в безопасном режиме .
Меньше руками придёться выдирать .
Последний раз редактировалось drongo; 19.08.2006 в 09:47.
-
-
Сообщение от
dimaskes
Касперский не помогает, у меня ADSL, после переустановки windows через 2 дня начали всплывать окна в больших количествах с иностранной рекламой. Переодически, рабочие окна переадресовываются на пустые страницы типа surfsidekick.com
пробовал программу spysubtract, тоже не помогла.
обобщу и дополню вышесказанное drongo.
прислать по правилам форума файлы (искать из программы AVZ, со включенным противодействием руткитам!):
C:\Documents and Settings\Owner\Мои документы\sуstem\?explore.exe
(вот здесь вместо знака вопроса может стоять произвольный символ)
C:\Program Files\SurfSideKick 3\SskBho.dll
C:\Program Files\SurfSideKick 3\SskCore.dll
C:\Program Files\SurfSideKick 3\Ssk.exe
mssvcc.exe
mssecure.exe
C:\kybrdff_11.exe
C:\dfndrff_11.exe
C:\nwnmff_11.exe
C:\hkoue.exe
C:\WINDOWS\thiselt.exe
C:\WINDOWS\avantage32.exe
C:\PROGRA~1\STEM~1\taskmgr.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\w002db23.dll
C:\WINDOWS\System32\repairs303169590.dll
C:\WINDOWS\System32\ddaby.dll
C:\WINDOWS\System32\yaywxyv.dll
C:\WINDOWS\system32\fpr0039me.dll
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\kxdro.dll
C:\WINDOWS\system32\ktdic.dll
C:\WINDOWS\system32\pyofmap.dll
C:\WINDOWS\system32\mxrle32.dll
C:\WINDOWS\system32\bgotvid.dll
C:\WINDOWS\system32\aukctrs.dll
C:\WINDOWS\system32\wrnsock.dll
C:\WINDOWS\system32\sxgtab.dll
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\sjmapi.dll
C:\WINDOWS\system32\mqpmspsv.dll
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\YB5C1043\drsmartload255a[1].exe
C:\Program Files\Deskbar\deskbar.dll
C:\program files\common files\{205b8121-0ae6-1049-1005-040512200007}\update.exe
пофиксить с помощью HijackThis указанные ниже строки:
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - C:\Program Files\SurfSideKick 3\SskBho.dll
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_11.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_11.exe
O4 - HKLM\..\Run: [wdqcf166] RUNDLL32.EXE w002db23.dll,n 002cf1640000000a002db23
O4 - HKLM\..\Run: [newname] C:\\nwnmff_11.exe
O4 - HKLM\..\Run: [pop06apelt] C:\WINDOWS\thiselt.exe
O4 - HKLM\..\Run: [secures23] mssecure.exe
O4 - HKLM\..\Run: [SurfSideKick 3] C:\Program Files\SurfSideKick 3\Ssk.exe
O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O4 - HKLM\..\RunServices: [secures23] mssecure.exe
O4 - HKCU\..\Run: [Rmcb] "C:\PROGRA~1\STEM~1\taskmgr.exe" -vt yazb
O4 - HKCU\..\Run: [SurfSideKick 3] C:\Program Files\SurfSideKick 3\Ssk.exe
O15 - Trusted Zone: *.elitemediagroup.net
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.mmohsix.com
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O23 - Service: Microsoft Windows Avantage Service (Windows Avantage) - Unknown owner - C:\WINDOWS\avantage32.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
присылайте все файлы из списка, которые удастся найти. файлов может получиться много, можете присылать по частям. по мере поступления файлов будем давать рекомендации по лечению.
-
-
У меня Касперский 5.0.123, на него расширенные базы не становятся, (у меня по крайней мере ),
Фалы нашлись не все, но те которые нашлись выкладываю.
И еще извините за глупый вопрос, что такое "пофиксить строки", как это сделать просмотрел HiJack, так и не понял.
(файлы выложил здесь: webfile.ru/1065748, извините, если не по правилам, файл 2 мб. во вложение не влезает)
Спасибо!
С уважением, dimaskes/
-
-
Найдите способ подключить расширенные базы (это должно быть в настройках). У Вас известная адварь с DollarRevenue, касперский ее должен знать.
"Пофиксить" - это после проверки в hijackthis в окне этой программы отметить птичками указанные строки (внимательно, только их !) и нажать кнопку "Fix ..".
P.S. Пока нет ответа из вирус-лабов, удалите отложенным удалением из AVZ файл
C:\WINDOWS\avantage32.exe
Это однозначно троян (видимо, бэкдор), но его пока никто не знает. Проверил - безопасно, можно удалять.
Если квалификация позволяет, можно почистить его следы в реестре. Если нет - лучше этого пока не делайте.
Удалить полностью ветки:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Windows Avantage]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINDOWS_AVANTAGE]
и содержащийся внутри него:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINDOWS_AVANTAGE\0000]
"Service"="Windows Avantage"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="Microsoft Windows Avantage Service"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C23104 8-7C23-1048-7C23-10487C231048}]
Последний раз редактировалось Alexey P.; 20.08.2006 в 02:13.
-
-
Похоже, лаборатория DrWeb ваш архивчик посмотрела.
Код:
C:\WINDOWS\system32\w002db23.dll - Trojan.DownLoader.10919
C:\WINDOWS\system32\yaywxyv.dll - Trojan.Virtumod
C:\WINDOWS\system32\ddaby.dll - Trojan.Virtumod
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\YB5C1043\drsmartload255a[1].exe - Adware.DollarRevenue
C:\hkoue.exe - Adware.DollarRevenue
C:\WINDOWS\System32\repairs303169590.dll - Adware.Surfside
C:\Program Files\SurfSideKick 3\Ssk.exe - Adware.Surfside
C:\Program Files\Deskbar\deskbar.dll - Adware.Softomate
C:\Program Files\SurfSideKick 3\SskBho.dll - Adware.Surfside
C:\Program Files\SurfSideKick 3\SskCore.dll - Adware.Surfside
C:\Documents and Settings\Owner\Мои документы\sуstem\іexplore.exe - Adware.ClickSpring
C:\Program Files\ѕуstem\taskmgr.exe - Adware.ClickSpring
C:\WINDOWS\avantage32.exe - Win32.HLLW.MyBot
Удаляйте их последовательно через AVZ меню Файл->«Отложенное удаление». И утилитой CureIt! пройтись по всему диску С не помешает.
-
-
Да, в 18:40 пришел ответ об обработке, обновление баз и соответствующий cureit уже точно вышли.
От касперски лаб пока ответа нету, хоть и отправлял обоим почти одновременно.
-
-
Пришел ответ и от касперски лаб. Всего через 6 дней после отправки.
Здравствуйте.
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз. Детектирование еще трех файлов будет
добавлено в ближайшее время.
Благодарим за оказанную помощь.
---------
С уважением, Алексей Маланов
Вирусный аналитик
ЗАО "Лаборатория Касперского"
Ожидалось быстрее, конечно. Но что есть, то и есть.
-
-
Спасибо всем за участие!
Компьютер был вылечен специалистами - коллегами из отдела ИТ моей корпорации. С их слов вирус был в ядре Виндов, лечили переустановкой системы, сразу поставили расширеного Каспера. При первом выходе в интернет Каспер убил 28 вирусов в текущих файлах.
Подскажите что сделать, чтобы вирусы не лезли. У меня ADSL, возможно ли им предъявить претензию?
-
-
Сообщение от
dimaskes
лечили переустановкой системы, сразу поставили расширеного Каспера. При первом выходе в интернет Каспер убил 28 вирусов в текущих файлах.
Что Вы понимаете под текущими файлами: Файлы, которые текут из интернета или файлы, которые Вы скопировали на диск после переустановки системы?
-
-
Сообщение от
dimaskes
Компьютер был вылечен специалистами - коллегами из отдела ИТ моей корпорации. С их слов вирус был в ядре Виндов, лечили переустановкой системы,
сразу видно - специалисты, раз лечат переустановкой Виндов. особенно порадовал "вирус в ядре", поскольку там не было вируса, а что было, то было не в ядре.
Сообщение от
dimaskes
Подскажите что сделать, чтобы вирусы не лезли. У меня ADSL, возможно ли им предъявить претензию?
напишите в спортлото (с) Высоцкий
-
-
При первом выходе в интернет Каспер убил 28 вирусов в текущих файлах.
Интересно посмотреть на список. Касперский все свежие логи хранит.
Подскажите что сделать, чтобы вирусы не лезли.
http://virusinfo.info/showpost.php?p=36427&postcount=1
У меня ADSL, возможно ли им предъявить претензию?
Какую претензию? У вас в договоре есть пункт об обязательствах првовайдера проверять HTTP, FTP и др. трафик?
-
-
Сообщение от
Rene-gad
Что Вы понимаете под текущими файлами: Файлы, которые текут из интернета или файлы, которые Вы скопировали на диск после переустановки системы?
То что притекло из интернета.
-
-
Сообщение от
MOCT
сразу видно - специалисты, раз лечат переустановкой Виндов. особенно порадовал "вирус в ядре", поскольку там не было вируса, а что было, то было не в ядре.
напишите в спортлото (с) Высоцкий
Ирония, вещь хорошая, согласен!
В терминологии не силен, поскольку о нее далек, но после 2-х дней цикличной перезагрузки Винда, ничего другого, кроме как переустановить систему не оставалось, мне компьютер нужен для работы, а не для опытов.
-
-
Сообщение от
AndreyKa
Интересно посмотреть на список. Касперский все свежие логи хранит.
Report.txt
Сообщение от
AndreyKa
за ссылку спасибо!
Сообщение от
AndreyKa
Какую претензию? У вас в договоре есть пункт об обязательствах првовайдера проверять HTTP, FTP и др. трафик?
Такого пункта нет. Вопрос может и дурацкий, но я далек от основ вирусо - гадостных дел, прошу делать на это скидку.
Гадость лезет сразу после соединения, кучками.
Последний раз редактировалось dimaskes; 26.08.2006 в 00:55.
-
-
Сообщение от
dimaskes
Гадость лезет сразу после соединения, кучками.
http://www.viruslist.com/ru/news?id=145739455
Кучами и тучами, я бы сказал.
Стройными колоннами заходят все желающие поживится вашими паролями и превратить ваш компьютер в зомби, рассылающий спам.
Сообщение от
dimaskes
Компьютер был вылечен специалистами - коллегами из отдела ИТ моей корпорации.
Было бы смешно, если не было бы так грустно.
-
-
Везет же людям.
У меня в тарифах провайдера на относительно дешевый домашний ADSL есть такая строка:
Осуществляется фильтрация трафика по портам: 25 (кроме сервера Провайдера), 135-139, 445, 5000
Вот из-за этого червей нет. То есть ВООБЩЕ нет.
Ну, и из-за блокировки 25 порта все проверенные спам-боты (несколько сотен) обломились с рассылкой.
Просто, но эффективно, как лом.
ЗЫ: dimaskes, а вот Вам провайдер вполне может предъявить претензии согласно договора. Если не обеспечите должной защиты своего компьютера и он будет использован для рассылки спама/атак на другие компьютеры.
Обычно мера воздействия с их стороны - отключение до устранения Вами нарушений. За отдельную плату возможна помощь со стороны работников техподдержки провайдера.
-
-
Сообщение от
dimaskes
Ирония, вещь хорошая, согласен!
В терминологии не силен, поскольку о нее далек, но после 2-х дней цикличной перезагрузки Винда, ничего другого, кроме как переустановить систему не оставалось, мне компьютер нужен для работы, а не для опытов.
в постах 5 и 6 было сказано, что же нужно делать для того, чтобы вылечить компьютер. при этом никакая переустановка системы и всех прочих программ не требуется.
если же вы игнорируете все советы, то может быть не стоит тратить свое и чужое время попусту и надо сразу же переустанавливать систему? кстати, после переустановки система отнюдь не стала чище, просто в ней появились новые заразы, за что скажите спасибо своим специалистам.
-
-
Лучший способ борьбы с заразой переустановка Винды!
-
-
Угу. Раз пять в день - должно помочь .
-