-
Junior Member
- Вес репутации
- 53
Explorer.exe лезет на рекламные сайты
Здравствуйте. У меня появилась проблема. KIS рапортует что Explorer.exe
пытается зайти на какой - то сайт и предлагает запретить доступ, если нажать запретить окошко появляется снова (раз 5 -10) потом каспер отчитывается что закрыл доступ эксплореру, происходит это нерегулярно и без видимой закономерности иногда через 10мин вылазит а иногда несколько часов нет...
Я нашел програмку FieryAds(установилась с русификатором на Adobe Indesign) и удалил её и все её следы, но проблема не пропала. Проверка КИСом ничего не выявила, CureIT молчит, GMER тоже ничего не нашел.
В ShellExView ничего подозрительного нет.
В общем только на вас надежда...
P.S. Установлена Windows 7 Ultimate 7600 с последними обновлениями
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
DelBHO('{1DFA2A6E-3CB3-4141-A96F-D42244A6B50E}');
QuarantineFile('C:\Windows\system32\ngrskter.dll','');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\CMedia\CMedia.dll','');
DeleteFile('C:\Users\Администратор\AppData\Roaming\CMedia\CMedia.dll');
DeleteFile('C:\Windows\system32\ngrskter.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
AVZ пишет проверка завершена и вылетает с ошибкой. Карантин не записывает
Вот код ошибки:
Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: avz.exe
Версия приложения: 4.32.0.0
Отметка времени приложения: 2a425e19
Имя модуля с ошибкой: advapi32.dll
Версия модуля с ошибкой: 6.1.7600.16385
Отметка времени модуля с ошибкой: 4a5bd97e
Код исключения: c0000096
Смещение исключения: 00022a53
Версия ОС: 6.1.7600.2.0.0.256.1
Код языка: 1049
Дополнительные сведения 1: c396
Дополнительные сведения 2: c396f6d0bf25ca718fa81ec7f959a449
Дополнительные сведения 3: c396
Дополнительные сведения 4: c396f6d0bf25ca718fa81ec7f959a449
Добавлено через 1 минуту
Ну вот пока был выключен касперский вылезла табличка с рекламой и предложила отправить смс, закрылась только через 60 секунд. В диспетчере не отображалось ничего лишнего...
Последний раз редактировалось alkom; 26.12.2009 в 01:38.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 53
Ну да. AVZ выполняет скрипт, пишет какие - то сообщения в конце выдает проверка завершена и вылетает.
Окошко с рекламой стало появляться постоянно, каспер больше его не торгает.
-
Совсем забыл, у Вас Виндовс 7, кажется!
Сделайте лог MBAM.
-
-
Junior Member
- Вес репутации
- 53
Лог сделал.
Заодно удалил файлик
C:\Windows\system32\ngrskter.dll
И каталог
C:\Users\Администратор\AppData\Roaming\CMedia\
(в нем были куски баннера)
Реестр AVZ похоже успел почистить.
Из того что нашел mbam пока ничего не удалял.
-
Удалите в MBAM следующее:
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\browserhelp.anyxplayer (Trojan.PornDialer) -> No action taken.
HKEY_CLASSES_ROOT\browserhelp.anyxplayer.1 (Trojan.PornDialer) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\cmd.exe (Security.Hijack) -> No action taken.
Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 53
Всё удалил. Окошко пока не вылазило.
Надеюсь больше не появиться. Спасибо за помощь.
-
-
-
Junior Member
- Вес репутации
- 53
Спасибо большое за помощь, до сих пор больше никаких симптомов не появлялось.