Explorer.exe лезет на рекламные сайты

[alkom]

Здравствуйте. У меня появилась проблема. KIS рапортует что Explorer.exe
пытается зайти на какой - то сайт и предлагает запретить доступ, если нажать запретить окошко появляется снова (раз 5 -10) потом каспер отчитывается что закрыл доступ эксплореру, происходит это нерегулярно и без видимой закономерности иногда через 10мин вылазит а иногда несколько часов нет...
Я нашел програмку FieryAds(установилась с русификатором на Adobe Indesign) и удалил её и все её следы, но проблема не пропала. Проверка КИСом ничего не выявила, CureIT молчит, GMER тоже ничего не нашел.
В ShellExView ничего подозрительного нет.
В общем только на вас надежда...

P.S. Установлена Windows 7 Ultimate 7600 с последними обновлениями

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
 DelBHO('{1DFA2A6E-3CB3-4141-A96F-D42244A6B50E}');
 QuarantineFile('C:\Windows\system32\ngrskter.dll','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\CMedia\CMedia.dll','');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\CMedia\CMedia.dll');
 DeleteFile('C:\Windows\system32\ngrskter.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению.

[alkom]

AVZ пишет проверка завершена и вылетает с ошибкой. Карантин не записывает
Вот код ошибки:
Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: avz.exe
Версия приложения: 4.32.0.0
Отметка времени приложения: 2a425e19
Имя модуля с ошибкой: advapi32.dll
Версия модуля с ошибкой: 6.1.7600.16385
Отметка времени модуля с ошибкой: 4a5bd97e
Код исключения: c0000096
Смещение исключения: 00022a53
Версия ОС: 6.1.7600.2.0.0.256.1
Код языка: 1049
Дополнительные сведения 1: c396
Дополнительные сведения 2: c396f6d0bf25ca718fa81ec7f959a449
Дополнительные сведения 3: c396
Дополнительные сведения 4: c396f6d0bf25ca718fa81ec7f959a449

Добавлено через 1 минуту

Ну вот пока был выключен касперский вылезла табличка с рекламой и предложила отправить смс, закрылась только через 60 секунд. В диспетчере не отображалось ничего лишнего...

[Шапельский Александр]

Скрипт выполнили?

[alkom]

Ну да. AVZ выполняет скрипт, пишет какие - то сообщения в конце выдает проверка завершена и вылетает.
Окошко с рекламой стало появляться постоянно, каспер больше его не торгает.

[Шапельский Александр]

Совсем забыл, у Вас Виндовс 7, кажется!
Сделайте лог MBAM.

[alkom]

Лог сделал.
Заодно удалил файлик
C:\Windows\system32\ngrskter.dll
И каталог
C:\Users\Администратор\AppData\Roaming\CMedia\
(в нем были куски баннера)
Реестр AVZ похоже успел почистить.

Из того что нашел mbam пока ничего не удалял.

[Шапельский Александр]

Удалите в MBAM следующее:

Код:

Заражено ключей реестра:
HKEY_CLASSES_ROOT\browserhelp.anyxplayer (Trojan.PornDialer) -> No action taken.
HKEY_CLASSES_ROOT\browserhelp.anyxplayer.1 (Trojan.PornDialer) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\cmd.exe (Security.Hijack) -> No action taken.

Сделайте лог MBAM

[alkom]

Всё удалил. Окошко пока не вылазило.
Надеюсь больше не появиться. Спасибо за помощь.

[Шапельский Александр]

В логе чисто.

[alkom]

Спасибо большое за помощь, до сих пор больше никаких симптомов не появлялось.