Не могу убрать рекламный модуль просмотра эро-видео сайта pornhub.com

[antokarpo]

Здравствуйте!
Поймал эту гадость, не могу избавиться. Перепробовал все коды, какие только нашел. Ниодин не подошел. В безопасном режиме этот модуль тоже запускается, так что не представляю как я смогу отделаться от этой беды. Чтобы отключить этот модуль, просят пополнить счет 004245166373 на 246 рублей. Картинка выглядит как открытое окно IE в котором три фотки девушек и текст с пояснением что это и как убрать, а ниже есть поле с кнопкой "Отключить".
В общем, пишу со своего же компа, только загруженного с WinXP Live CD. Все инструменты, перечисленные в инструкции, я уже скачал. Не знаю только что дальше делать. Ведь, как я понял, для всех операций с утилитами лечилками нужна система что в компе а не LiveCD. А как это сделать, если этот проклятый модуль ничего не дает сделать?

Заранее спасибо, буду ждать каких-нибудь инструкций от хелперов.

[Rene-gad]

А какие могут быть инструкции? Сделайте Live CD на другом компе или переставьте Ваш хард в другой комп и пролечитесь.

[antokarpo]

А какие могут быть инструкции? Сделайте Live CD на другом компе или переставьте Ваш хард в другой комп и пролечитесь.

В том-то и дело, что нету другого компа. Я с Live CD загружаюсь. Для этих операций подойдет любой Live CD? И так ли необходимо грузиться в безопасном режиме, или можно обойтись и как-нибудь так? Хотел бы уточнить процедуру "пролечения" в таких условиях.

[thyrex]

1. Скачайте образ ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

параметр

Код:

shell

Содержимое этих параметров напишите в своем сообщении

[antokarpo]

Параметр userinit: C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Anton \LOCALS~1\Temp\tempsys.exe

Параметр Shell: Explorer.exe

[thyrex]

Параметр userinit: C:\WINDOWS\system32\userinit.exe,

Оставьте такое значение, а хвост из записи в реестре удалите

Пробуйте загружаться и делать логи

[antokarpo]

Вот логи

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Anton\ctfmon.exe','');
DeleteFile('C:\Documents and Settings\Anton\ctfmon.exe');
QuarantineFile('C:\DOCUME~1\Anton \LOCALS~1\Temp\tempsys.exe','');
DeleteFile('C:\DOCUME~1\Anton \LOCALS~1\Temp\tempsys.exe');
 QuarantineFile('C:\thumbs.db','');
 QuarantineFile('C:\Program Files\IEUpdate\ieupdate.dll','');
 QuarantineFile('C:\windows\explorer.exe','');
 DeleteFile('C:\thumbs.db');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[antokarpo]

Вот новые логи

[thyrex]

Сделайте лог МВАМ

[antokarpo]

Вот лог MBAM

[thyrex]

Удалите в МВАМ

Код:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\reklosoft_adw.helper_bar (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.helper_bar.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.helper_bho (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.helper_bho.1 (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\testbho.cmainbho (Trojan.GoogleStartNet) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{0b57905e-faa4-4ea6-a660-164a0f2e94ef} (Trojan.GoogleStartNet) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{80c9f50d-9ecd-436b-a087-1b66f43bdd26} (Trojan.GoogleStartNet) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9dc7b255-c5b5-4da0-81fc-d6b70feb8fc5} (Trojan.GoogleStartNet) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9dc7b255-c5b5-4da0-81fc-d6b70feb8fc5} (Trojan.GoogleStartNet) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9dc7b255-c5b5-4da0-81fc-d6b70feb8fc5} (Trojan.GoogleStartNet) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dc7b255-c5b5-4da0-81fc-d6b70feb8fc5} (Trojan.GoogleStartNet) -> No action taken.
HKEY_CLASSES_ROOT\testbho.cmainbho.1 (Trojan.GoogleStartNet) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e743cf05-181c-4d72-b4ee-95435ed4b86b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f1287389-b2fe-4315-8484-540b2033646d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{d96fa298-1bb6-47fc-ad21-72781b744dc3} (Adware.Reklosoft) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ffffe708-b832-42f1-baff-247753b5e452} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{2552632f-867d-4052-b836-7f83a5302534} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{71e59d37-d7fc-4ed6-bc1d-d13be02fe6c5} (Trojan.Kerlofost) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{71e59d37-d7fc-4ed6-bc1d-d13be02fe6c5} (Trojan.Kerlofost) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CLASSES_ROOT\AppID\rs_adw.DLL (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\SearchHelper (Adware.Reklosoft) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Зараженные папки:
C:\Documents and Settings\Anton\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66} (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences (Trojan.Kerlofost) -> No action taken.

Зараженные файлы:
C:\Program Files\IEUpdate\ieupdate.dll (Trojan.GoogleStartNet) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome.manifest (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\extension.reg (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\install.rdf (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\extensions.xul (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\logo.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.js (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.xul (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q_gray.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x_gray.png (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js (Trojan.Kerlofost) -> No action taken.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js.old (Trojan.Kerlofost) -> No action taken.
C:\Documents and Settings\Anton\Local Settings\Temp\tempsys.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\tempsys.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Anton\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\WINDOWS\Temp\Sidebar.exe (Trojan.Agent) -> No action taken.

[antokarpo]

После этой процедуры лечение будет завершено?

[thyrex]

После этой процедуры лечение будет завершено?

После этой процедуры хотелось бы увидеть новый лог МВАМ, как сказано в инструкции по ссылке

[antokarpo]

Удалил все, что здесь написано. Вот новый лог

[thyrex]

Порядок в этом логе

Пофиксите в HiJack (неоторых строчек может не быть)

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file).

[antokarpo]

Пофиксил, что-то еще надо прислать?

[thyrex]

Нет, не нужно

[antokarpo]

Тогда я понимаю, что уже все?

[thyrex]

Больше ничего необычного не видно