Информер

danunax · 18.09.2009, 19:18

Через каждые 5-7 минут вылазит окно - информер о новых порнотоварах, не в браузерах, а в самой винде. Как обычно просят смс. Обнаружил у себя 2 якобы установленные программы. Та которая запускает информер именует себя adriver. Причем удалить ее просто так нельзя, а в свойствах написано якобы я согласился на рассылку. Вообщем нужна помощь, так как нужен комп для работы
syscure тут http://exfile.ru/60319

01pump · 18.09.2009, 19:24

danunax,
Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст:

Код:

 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Кирюха\Application Data\AdRiver\AdRiver.dll');
DeleteFile('C:\DOCUME~1\5E27~1\APPLIC~1\FieryAds\FieryAds.dll');
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
DelCLSID('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelCLSID('{{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelCLSID('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
ExecuteSysClean;
RebootWindows(true);
end.

Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!!

После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis

danunax · 18.09.2009, 19:41

Все вроде сделал, как Вы сказали
hijack log http://exfile.ru/60332
virus syscheck http://exfile.ru/60333

---------- Добавлено в 18:46 ---------- Предыдущее сообщение было написано в 18:41 ----------

Такой еще вопрос : стоит ли делать восстановление системы?

---------- Добавлено в 19:41 ---------- Предыдущее сообщение было написано в 18:41 ----------

Большое спасибо, 01pump, за оперативную помощь. Надеюсь что критических ситуаций в системе уже нет.
Если сможете, скажите каким образом могла эта ерунда залететь ко мне?

01pump · 18.09.2009, 22:11

danunax,
Запустите снова hijakcthis кнопкой "Do a system scan only" . Откроется таблица, в ней найдите следующую строчку и отметьте её.

Цитата:

O20 - AppInit_DLLs: 0

затем нажмите FIX checked
Перезагрузитесь. Повторите лог в hijackthis и выложите его.

Цитата:

Такой еще вопрос : стоит ли делать восстановление системы?

Имеете ввиду создание резервной копии? Если да то можете сделать, на ваше усмотрение.

danunax · 19.09.2009, 12:50

Этой строчки мне найти не удалось. Сегодня касперский поругался на библиотеку в систем волайм инфомэйшн
A0035358.dll. Я его удалил
Вот новый лог хайджека
http://exfile.ru/60443

01pump · 19.09.2009, 12:53

danunax,
Это

Цитата:

ProxyServer = 127.0.0.1:8080

используем?
Это Bonjour удалить через Установка и удаление программ.

ЗЫ Больше нет вопросов.

danunax · 19.09.2009, 13:03

В установке и удалении программ нет bonjour )
еще у меня почистились хосты, это меня отнюдь не обрадовало
этот bonjour вручную убрать?

01pump · 19.09.2009, 13:06

Цитата:

Сообщение от danunax

В установке и удалении программ нет bonjour )
еще у меня почистились хосты, это меня отнюдь не обрадовало

Хммм... Если Бонжур в системе то и в Установке и удалении он тоже должен присутствовать.

Попробуйте через C:\Program Files\Bonjour найти его деинсталлятор и удалить.

Каким образом хосты почистились? Мы их не трогали. Там и не было записей изначально. Я это заметил.
Можно взять и прописать то что треба в нем.

danunax · 19.09.2009, 13:09

Я сам не знаю
В папке bonjour только 2 файла exe и dll

01pump · 19.09.2009, 13:11

Цитата:

Сообщение от danunax

Я сам не знаю
В папке bonjour только 2 файла exe и dll

Удали целиком папку с бонжуром.
вот этот нормальный файл hosts http://exfile.ru/58695 скачать и сохранить в папке С:\WINDOWS\system32\drivers\etc\ С предложением замены согласиться.

danunax · 19.09.2009, 13:25

Спасибо. Эта строчка там осталась, просто пропали фильтры для некоторых пиратских программ

В бонжуре еxe файл удалился, а dll не удаляетсо, нет доступа

---------- Добавлено в 12:36 ---------- Предыдущее сообщение было написано в 12:25 ----------

И сегодня я опять обнаружил себя папку adriver

01pump · 19.09.2009, 13:45

Цитата:

Сообщение от danunax

И сегодня я опять обнаружил себя папку adriver

Хммм.. снова стандартный скрипт №3 выполнить и выложить архив virusinfo_syscure.zip

danunax · 19.09.2009, 18:43

Воть http://exfile.ru/60478

01pump · 19.09.2009, 18:50

Цитата:

Сообщение от danunax

Воть http://exfile.ru/60478

Так обнаружена папка adriver или сам плагин висит? Если папка то руками её выкорчевываем.

ЗЫ Этим Бонжур удалим

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Bonjour Service');
 DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
ExecuteSysClean;
RebootWindows(true);
end.

danunax · 19.09.2009, 20:12

Папочку эдривер заметил касперский, я ее сразу же ручками удалил. только как она попала опять ко мне непонятно...
mdnsResponder.exe я тоже руками уничтожил, а вот dll не поддавался
Я так понял, что этот скрипт можно использовать для удаления любого файла, ну и поменял имя. Пока все нормально, спасибо

18.09.2009, 19:18	#1 (ссылка)
danunax Новичок Регистрация: 20.04.2009 Сообщений: 68 Репутация: 0	Информер Через каждые 5-7 минут вылазит окно - информер о новых порнотоварах, не в браузерах, а в самой винде. Как обычно просят смс. Обнаружил у себя 2 якобы установленные программы. Та которая запускает информер именует себя adriver. Причем удалить ее просто так нельзя, а в свойствах написано якобы я согласился на рассылку. Вообщем нужна помощь, так как нужен комп для работы syscure тут http://exfile.ru/60319

18.09.2009, 19:24	#2 (ссылка)
01pump Специалист Регистрация: 01.01.2009 Сообщений: 13,209 Репутация: 415	danunax, Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Кирюха\Application Data\AdRiver\AdRiver.dll'); DeleteFile('C:\DOCUME~1\5E27~1\APPLIC~1\FieryAds\FieryAds.dll'); DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}'); DelCLSID('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelCLSID('{{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}'); DelCLSID('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}'); DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}'); ExecuteSysClean; RebootWindows(true); end. Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Баннер-информер ass1st.com	dmsgen	Безопасность	10	14.07.2010 02:43
Как удалить порно информер?	kronius	Безопасность	6	16.06.2010 19:18
На рабочем столе информер	Maxkazak	Безопасность	16	07.06.2010 22:08
Как удалить информер с рабочего стола?	tles	Безопасность	3	27.05.2010 09:44
Поймал информер Порнхаба.	1+1=1	Безопасность	6	27.05.2010 01:28
Информер pornohub	Igg	Безопасность	2	25.05.2010 16:01
IE информер pornhub.com	Денис_	Безопасность	1	24.05.2010 17:53
Информер pornhub	4айник	Безопасность	17	17.05.2010 03:51
Помогите удалить информер....	ksu_mosk	Безопасность	11	16.05.2010 23:19
как убрать информер?	Sergey 83	Безопасность	2	23.08.2009 14:07
информер	саня к.	Безопасность	5	16.12.2008 07:07
"Поселился" информер	shoont	Безопасность	3	02.11.2008 20:42

18.09.2009, 19:41	#3 (ссылка)
danunax Новичок Регистрация: 20.04.2009 Сообщений: 68 Репутация: 0	Все вроде сделал, как Вы сказали hijack log http://exfile.ru/60332 virus syscheck http://exfile.ru/60333 ---------- Добавлено в 18:46 ---------- Предыдущее сообщение было написано в 18:41 ---------- Такой еще вопрос : стоит ли делать восстановление системы? ---------- Добавлено в 19:41 ---------- Предыдущее сообщение было написано в 18:41 ---------- Большое спасибо, 01pump, за оперативную помощь. Надеюсь что критических ситуаций в системе уже нет. Если сможете, скажите каким образом могла эта ерунда залететь ко мне?

19.09.2009, 12:50	#5 (ссылка)
danunax Новичок Регистрация: 20.04.2009 Сообщений: 68 Репутация: 0	Этой строчки мне найти не удалось. Сегодня касперский поругался на библиотеку в систем волайм инфомэйшн A0035358.dll. Я его удалил Вот новый лог хайджека http://exfile.ru/60443

19.09.2009, 13:03	#7 (ссылка)
danunax Новичок Регистрация: 20.04.2009 Сообщений: 68 Репутация: 0	В установке и удалении программ нет bonjour ) еще у меня почистились хосты, это меня отнюдь не обрадовало этот bonjour вручную убрать?

19.09.2009, 13:09	#9 (ссылка)
danunax Новичок Регистрация: 20.04.2009 Сообщений: 68 Репутация: 0	Я сам не знаю В папке bonjour только 2 файла exe и dll

19.09.2009, 13:25	#11 (ссылка)
danunax Новичок Регистрация: 20.04.2009 Сообщений: 68 Репутация: 0	Спасибо. Эта строчка там осталась, просто пропали фильтры для некоторых пиратских программ В бонжуре еxe файл удалился, а dll не удаляетсо, нет доступа ---------- Добавлено в 12:36 ---------- Предыдущее сообщение было написано в 12:25 ---------- И сегодня я опять обнаружил себя папку adriver

19.09.2009, 18:43	#13 (ссылка)
danunax Новичок Регистрация: 20.04.2009 Сообщений: 68 Репутация: 0	Воть http://exfile.ru/60478

19.09.2009, 20:12	#15 (ссылка)
danunax Новичок Регистрация: 20.04.2009 Сообщений: 68 Репутация: 0	Папочку эдривер заметил касперский, я ее сразу же ручками удалил. только как она попала опять ко мне непонятно... mdnsResponder.exe я тоже руками уничтожил, а вот dll не поддавался Я так понял, что этот скрипт можно использовать для удаления любого файла, ну и поменял имя. Пока все нормально, спасибо

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads