Появилась реклама на рабочем столе, поверх всех окон. Запустил KIS2010 736 на полную проверку, так же произвел проверку в безопасном режиме, он ничего не нашел. После проверки выскочило предупреждение об обнаружении FeiryAds.dll, но судя по отчету, KIS не смог его удалить. Так же в Приложения и Компоненты появилось два приложения, которые я не устанавливал: Бесплатный контент FieryADS и Досткп к условно бесплатному контенту CMedia. Нашел в реестре 4 ключа этой(FeiryAds.dll) программы. Отправил отчет с помощью AVZ на VirusInfo, вредоносных приложений не найдено. После применения AVZ, реклама перестала беспокоить. Сделал отчеты.
Windows 7 RTM (7600) 64-bit, KIS2010 736.
Пока ничего не чистил.
Full Version: Вирус или троян
Хотя AVZ не предназначен для работы на 64-разрядных системах, да и поддержка Windows 7 пока еще только базовая, попробуем
В Windows 7 при выполнении скрипта и создании логов AVZ запускать от имени Администратора по правой кнопке мыши
Выполните скрипт в AVZ
Выполнить скрипт в AVZ.
Пофиксить в HiJack
Сделайте новые логи
В Windows 7 при выполнении скрипта и создании логов AVZ запускать от имени Администратора по правой кнопке мыши
Выполните скрипт в AVZ
CODE
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
QuarantineFile('C:\Users\CrazyDimson\AppData\Roaming\CMedia\CMedia.dll','');
DeleteFile('C:\Users\CrazyDimson\AppData\Roaming\CMedia\CMedia.dll');
DeleteFileMask('C:\Users\CrazyDimson\AppData\Roaming\CMedia', '*.*', true);
DeleteDirectory('C:\Users\CrazyDimson\AppData\Roaming\CMedia');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
QuarantineFile('C:\Users\CrazyDimson\AppData\Roaming\CMedia\CMedia.dll','');
DeleteFile('C:\Users\CrazyDimson\AppData\Roaming\CMedia\CMedia.dll');
DeleteFileMask('C:\Users\CrazyDimson\AppData\Roaming\CMedia', '*.*', true);
DeleteDirectory('C:\Users\CrazyDimson\AppData\Roaming\CMedia');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнить скрипт в AVZ.
CODE
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пофиксить в HiJack
CODE
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
Сделайте новые логи
Начал выполнять скрипт в AVZ. Через некоторое время приложение завершило работу(Windows пытается найти способ устранить ошибку), теперь сразу, при запуске скрипта, закрывается с ошибкой. Пока скрипт выполнялся, опять начало появляться это окно.
Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Запустил ComboFix.exe, все время вылетает с ошибкой Win32 only, не заточен под 64-битные системы. 
Просто запускал, от администратора и в режиме совместимости Windows XP SP3, результат один.
Просто запускал, от администратора и в режиме совместимости Windows XP SP3, результат один.
Попробуйте выполнить скрипт в самом KIS2010
Где в KIS2010 выполнять скрипт?
Попробуйте здесь поискать (пишу с работы, где установлен KIS7, потому пишу по памяти)
1. Откройте главное окно приложения.
2. В нижней части окна приложения нажмите на ссылку Поддержка.
3. В открывшемся окне Поддержка нажмите на ссылку Трассировки.
Дальше я думаю найдете
1. Откройте главное окно приложения.
2. В нижней части окна приложения нажмите на ссылку Поддержка.
3. В открывшемся окне Поддержка нажмите на ссылку Трассировки.
Дальше я думаю найдете
KIS2010 выполняет первый скрипт уже 2 часа 30 минут. Оно реально так долго делается или не работает?
Должен скрипт выполниться быстро.Сделайте такой лог http://virusinfo.info/showthread.php?t=53070
Проверил Malwarebytes' Anti-Malware
- Запустите MBAM
- выберите Perform Full Scan (Провести полную проверку)
- нажмите Scan (Проверить)
- после сканирования выберите Ок и далее Show Results (Показать результаты)
- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).
После удаления откройте лог и прикрепите его к сообщению.
- выберите Perform Full Scan (Провести полную проверку)
- нажмите Scan (Проверить)
- после сканирования выберите Ок и далее Show Results (Показать результаты)
- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).
После удаления откройте лог и прикрепите его к сообщению.
Произвел проверку, удаление. Потребовал перезагрузку. Вроде вылечил. Прикрепить файл не могу(пропала менюшка), выкладываю так.
Malwarebytes' Anti-Malware 1.41
Версия базы данных: 3091
Windows 6.1.7600
03.11.2009 17:11:04
mbam-log-2009-11-03 (17-11-04).txt
Тип проверки: Полная (C:\|)
Проверено объектов: 233587
Прошло времени: 53 minute(s), 1 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 4
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 1
Заражено файлов: 2
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> Quarantined and deleted successfully.
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
C:\Users\CrazyDimson\AppData\Roaming\FieryAds (Adware.FieryAds) -> Quarantined and deleted successfully.
Заражено файлов:
C:\Users\CrazyDimson\AppData\Roaming\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> Quarantined and deleted successfully.
C:\Users\CrazyDimson\AppData\Roaming\fieryads.dat (Adware.FieryAds) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.41
Версия базы данных: 3091
Windows 6.1.7600
03.11.2009 17:11:04
mbam-log-2009-11-03 (17-11-04).txt
Тип проверки: Полная (C:\|)
Проверено объектов: 233587
Прошло времени: 53 minute(s), 1 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 4
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 1
Заражено файлов: 2
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> Quarantined and deleted successfully.
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
C:\Users\CrazyDimson\AppData\Roaming\FieryAds (Adware.FieryAds) -> Quarantined and deleted successfully.
Заражено файлов:
C:\Users\CrazyDimson\AppData\Roaming\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> Quarantined and deleted successfully.
C:\Users\CrazyDimson\AppData\Roaming\fieryads.dat (Adware.FieryAds) -> Quarantined and deleted successfully.
В логе порядок. Что с проблемой?
Провел еще раз проверку, ничего не нашлось. Ключи не вывел. Реклама осталась.
Malwarebytes' Anti-Malware 1.41
Версия базы данных: 3091
Windows 6.1.7600
03.11.2009 20:28:41
mbam-log-2009-11-03 (20-28-41).txt
Тип проверки: Полная (C:\|)
Проверено объектов: 233506
Прошло времени: 50 minute(s), 4 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
(Вредоносные программы не обнаружены)
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
(Вредоносные программы не обнаружены)
Malwarebytes' Anti-Malware 1.41
Версия базы данных: 3091
Windows 6.1.7600
03.11.2009 20:28:41
mbam-log-2009-11-03 (20-28-41).txt
Тип проверки: Полная (C:\|)
Проверено объектов: 233506
Прошло времени: 50 minute(s), 4 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
(Вредоносные программы не обнаружены)
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
(Вредоносные программы не обнаружены)
Где отображается реклама ? В браузере ?
Нет. Появляется по середине рабочего стола, поверх всех окон. Могу только Диспетчер задач поверх этого окна поставить. Кстати, зашел в настройки "Загрузка и восстановления системы", нет строк выбора ОС (установлена одна, но выбор должен быть). Так же нету данных о загрузке ОС в msconfig.
Попробуйте в реестре найти и удалить вот такой CLSID. Он связан с C:\Users\CrazyDimson\AppData\Roaming\CMedia\CMedia.dll (CMedia Agent, AdRiver)
Нашел ключ, удалил, перезагрузился. На всякий случай, сохранил. regkey1
Проблема решена?
Пока не появляется, посмотрим что будет в течении дня. Не всегда появляется. Может пол дня не появляется, а потом каждые пол часа. Если не появиться, то в конце дня отпишусь, иначе раньше.
Больше не выскакивает. Надо бы добавить в базу, что бы KIS2010 лечил эту дрянь. Спасибо за помощь.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.