-
Junior Member
- Вес репутации
- 53
FieryAds v2.0.2 Реклама на рабочем столе
Прошу помоч , на рабочем столе появлялсе рекламный банер предлогающий купить различные товары сексуальной направленности, банер закрывался через минуту. Я вроде нашел источник зла и удалил, сейчас уже в течении минут 30 комп работает нормально, но все же хотелось бы что специалисты посмотрели логи.
зы.вроде все по инструкции сделал
заранее спасибо за помощь
Последний раз редактировалось Korotov; 14.12.2009 в 15:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1) Отключите восстановление системы.
2) Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Total Commander\hnetcfg.dll','');
QuarantineFile('C:\Documents and Settings\User1\Рабочий стол\Dekanat\Install\Система ДЕКАНАТ.msi','');
QuarantineFile('C:\Documents and Settings\User1\Application Data\Microsoft\Installer\{067B200B-FF20-4022-98FC-8CA9A705201C}\NewShortcut211_7A412BE9E04A43A893BDCE3026DB42CD.exe','');
QuarantineFile('C:\WINDOWS\system32\AD.exe','');
QuarantineFile('C:\Documents and Settings\Admin.USERGATE.000\Application Data\Slk.exe','');
QuarantineFile('C:\System Volume Information\_restore{AF5B7EBD-F7BD-4886-91BB-C96A1D53F8A9}\RP133\A0011232.dll','');
QuarantineFile('C:\System Volume Information\_restore{AF5B7EBD-F7BD-4886-91BB-C96A1D53F8A9}\RP133\A0011235.dll','');
QuarantineFile('C:\Documents and Settings\Admin.USERGATE.000\Application Data\CMedia\CMedia.dll','');
QuarantineFile('C:\DOCUME~1\ADMINU~1.000\APPLIC~1\FieryAds\FieryAds.dll','');
DeleteFile('C:\WINDOWS\system32\AD.exe');
DeleteFile('C:\Documents and Settings\Admin.USERGATE.000\Application Data\Slk.exe');
DeleteFile('C:\System Volume Information\_restore{AF5B7EBD-F7BD-4886-91BB-C96A1D53F8A9}\RP133\A0011232.dll');
DeleteFile('C:\System Volume Information\_restore{AF5B7EBD-F7BD-4886-91BB-C96A1D53F8A9}\RP133\A0011235.dll');
DeleteFile('C:\Documents and Settings\Admin.USERGATE.000\Application Data\CMedia\CMedia.dll');
DeleteFileMask('C:\Documents and Settings\Admin.USERGATE.000\Application Data\CMedia', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin.USERGATE.000\Application Data\CMedia');
DeleteFile('C:\DOCUME~1\ADMINU~1.000\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFileMask('C:\DOCUME~1\ADMINU~1.000\APPLIC~1\FieryAds', '*.*', true);
DeleteDirectory('C:\DOCUME~1\ADMINU~1.000\APPLIC~1\FieryAds');
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Slk');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3) Затем выполните второй скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
4) Сделайте новые логи.
Программу Radmin сами устанавливали?
-
-
Junior Member
- Вес репутации
- 53
Фаил закачал, сейчас сделаю логи.
На счет радмина, да сам ставил.
Последний раз редактировалось Korotov; 14.12.2009 в 15:31.
-
А нет, реклама снова вылезла на рабочий стол(((( очень прошу помочь
Рекомендации из поста #2 выполните.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Ingener
Рекомендации из поста #2 выполните.
за пост "А нет, реклама снова вылезла на рабочий стол(((( очень прошу помочь" извеняюсь, он был написан до того как выполнил скрипты, просто когда начал его писать вашего поста еще небыло.
потому он и был удален.
в данный момент жду когда будут готовы новые логи
-
Junior Member
- Вес репутации
- 53
Все выполнил, прилогаю новые логи
-
Выполните скрипт в AVZ:
Код:
begin
DeleteFile('C:\Program Files\Total Commander\hnetcfg.dll');
end.
Проблема решена?
Рекомендации:
1) Установите SP3 и все последующие обновления (заплатки).
2) Установите Internet Explorer 8.
3) Ознакомьтесь с этой темой: http://virusinfo.info/showthread.php?t=30339
-
-
Junior Member
- Вес репутации
- 53
Проблема вроде решена за что огромное спасибо.
В ближайшее время планируется установка лицензионного winXP sp3, с ним же наверно и установится обновление интернет эксплорер...но я в интернет хожу через оперу.
Тему по ссылке обязательно почитаю, еще раз спасибо!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin.usergate.000\application data\cmedia\cmedia.dll - not-a-virus:AdWare.Win32.AdSubscribe.azy ( DrWEB: Trojan.AdSubscribe.157 )
- c:\program files\total commander\hnetcfg.dll - Trojan-Downloader.Win32.Agent.coip ( DrWEB: Trojan.DownLoad.5619, BitDefender: Trojan.Generic.2228306, AVAST4: Win32:Trojan-gen )
- c:\system volume information\_restore{af5b7ebd-f7bd-4886-91bb-c96a1d53f8a9}\rp133\a0011232.dll - Trojan-Downloader.Win32.Agent.coip ( DrWEB: Trojan.DownLoad.5619, BitDefender: Trojan.Generic.2228306, AVAST4: Win32:Trojan-gen )
- c:\system volume information\_restore{af5b7ebd-f7bd-4886-91bb-c96a1d53f8a9}\rp133\a0011235.dll - Trojan-Downloader.Win32.Agent.coip ( DrWEB: Trojan.DownLoad.5619, BitDefender: Trojan.Generic.2228306, AVAST4: Win32:Trojan-gen )
-