Здравствуйте эксперты! Пожалуйста помогите решить проблему,ни в чем не разбираюсь, недели 3 назад появился порно баннер во всех браузерах- фаерфокс,опера,IE. не знаю с чем связано, его можно закрыть, вылезает не всегда,но достает ужасно!
1. Отключите антивирус/фаервол, интернет. 2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли 3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.) Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearHostsFile; TerminateProcessByName('?.exe'); DeleteFile('?.exe'); DeleteFile('C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\corimmnjtem.dat'); DeleteFile('C:\WINDOWS\System32\Drivers\aq1zc8ty.SYS'); DeleteFile('C:\WINDOWS\system32\WTMKM.exe'); DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll'); DeleteFile('C:\Program Files\Eltima Software\Flash Decompiler Trillix\saveflash\iebt.dll'); DeleteFile('C:\WINDOWS\abrakadabra.dll'); DeleteFile('C:\Program Files\Tale of Tales\The Endless Forest 3\channels\FB75C7AB-9843-4F64-BD23-EB90B2466965.dll'); DeleteFile('C:\Program Files\Tale of Tales\The Endless Forest 3\channels\InstanceItem.dll'); DeleteFile('C:\Program Files\Tale of Tales\The Endless Forest 3\channels\InstanceRefFromContainer.dll'); DelCLSID('{53B95212-7D77-11D2-9F80-00104B107C97}'); DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end. после выполнения скрипта компьютер перезагрузится. 4. Пофиксите в HijackThis следующие строчки: Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе. Код: R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll R3 - URLSearchHook: (no name) - - (no file) O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing) O4 - HKLM\..\Run: [ParallelReality Screen Capture] C:\Program Files\Screen Capture\ScrCapture.exe O4 - Global Startup: Monitor.lnk = C:\Program Files\USB Video Camera\Monitor.exe [COLOR=Blue]Если вам [B]НЕ ИЗВЕСТЕН[/B] какой-либо из ниже написанных DNS адресов, пофиксите эту строку или одну из них. O17 - HKLM\System\CCS\Services\Tcpip\..\{8BAFF7AC-28F9-4B41-84AC-715AE6D265A3}: NameServer = [URL="http://www.hijackthis.de/whois.php"]188.92.73.123[/URL],[URL="http://www.hijackthis.de/whois.php"]188.92.73.124[/URL] O17 - HKLM\System\CS3\Services\Tcpip\..\{048037A9-1F4A-4761-A881-34646F57E7DF}: NameServer = [URL="http://www.hijackthis.de/whois.php"]85.21.192.5[/URL] [URL="http://www.hijackthis.de/whois.php"]213.234.192.7[/URL] O17 - HKLM\System\CS6\Services\Tcpip\..\{048037A9-1F4A-4761-A881-34646F57E7DF}: NameServer = [URL="http://www.hijackthis.de/whois.php"]85.21.192.5[/URL] [URL="http://www.hijackthis.de/whois.php"]213.234.192.7[/URL] O17 - HKLM\System\CS7\Services\Tcpip\..\{048037A9-1F4A-4761-A881-34646F57E7DF}: NameServer = [URL="http://www.hijackthis.de/whois.php"]85.21.192.5[/URL] [URL="http://www.hijackthis.de/whois.php"]213.234.192.7[/URL] O17 - HKLM\System\CS13\Services\Tcpip\..\{048037A9-1F4A-4761-A881-34646F57E7DF}: NameServer = [URL="http://www.hijackthis.de/whois.php"]85.21.192.5[/URL] [URL="http://www.hijackthis.de/whois.php"]213.234.192.7[/URL][/COLOR] O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - C:\WINDOWS\abrakadabra.dll O24 - Desktop Component 0: (no name) - [url]http://line.romanticcollection.ru/bi/25_41bi_39721440_RmoIPRdenxPRroZdeniyPbudet[/url] PCerez_3.gif 5. Сделайте новые логи AVZ и HijackThis 6. Cделайте лог MBAM и дайте ссылку на файл лога. После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее: Поскольку версия вашего браузера Internet Explorer устарела, официально не поддерживается и имеет множество критических уязвимостей, Обязательно обновите браузер до последней версии Internet Explorer 8, после обновления - НЕ используйте его, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome. - Обновите Service Pack 2 до Service Pack 3 - Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).
ссылка на логи avz, hijackthis.log и mbam.log http://webfile.ru/5463018 все выполнено, но баннер остался!
