Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Windows (https://forum.antichat.xyz/forumdisplay.php?f=42)
-   -   Туфта, которая выводит рекламу на порно сайты (https://forum.antichat.xyz/showthread.php?t=132271)

BLaZeViL 31.07.2009 13:14
Туфта, которая выводит рекламу на порно сайты
 
Хелп, спасайте...
Какой-то Спайвери задолбал, выводит банеры на порно сайты,
Искал в инете, нашёл про него, но не похож, в IExplorer выводит рекламу + выводит в FireFox'e + ещё на рабочем столе (хотя FireFox и iexplorer не запущеные (даже пытался перемещать и удалять их)) Антивирусы и Антиспайвери не помогают.
Пожалуйста помогите :(
http://img56.imageshack.us/img56/4899/30784551.jpg

POS_troi 31.07.2009 13:24
Пройдись CureIt
MsConfig -> Посмотри что в автозагрузке

З.Ы. Картинки жать не учили, извращенец

Xtrem 31.07.2009 13:30
оо ох*енчиком!! на рабочем столе доступ сразу к порнухе!!
ктото мечтает о таком

Richard 31.07.2009 13:31
ахах =) там наверно прописано, чтоб на рабочем столе незя было сменить картинку попробуй так:
Пуск->Выполнить-> gpedit.msc
Конфигурация пользователя->Административные шаблоны->Рабочий стол->
-> Active Desktop.... вот там полазий... наверн тебе надо просто запретить веб-элементы на рабочем столе, или изменить рисунок "Рисунок рабочего стола Active Desktop"

з.ы.: может не помочь.... с такой шнягой никогда не встречался
з.ы.ы: и нех по порносайтам лазить :)

BLaZeViL 31.07.2009 13:31
http://img190.imageshack.us/img190/36/32877157.jpg
В принципе всё ок, я даже загружал комп без System.ini, Win.ini, Сис.служб и Автозагрузки, всё одна и таже хня, пытался загрузить в безопаске, проходит секунд 10 и перезагрузка автоматом :(

Not Found... 31.07.2009 13:38
Сделай логи AVZ,попробую помочь.
http://i072.radikal.ru/0907/37/d755de1e704dt.jpg

plas 31.07.2009 13:39
смотришь процессы и находишь что это вызывает
и дальше удаляешь это
куреиты и спаивары врятли помогут так как несчитают это угрозой (только если угроза для руки)

Xtrem 31.07.2009 13:41
ребзя ну помогите парню, скоро мама с работы придет!!!!

plas 31.07.2009 13:43
Выложи лучше скрин процессов

BLaZeViL 31.07.2009 13:44
Смотрел, следил что вызывает - сам explorer вызывает

plas 31.07.2009 13:47
Заверши дерево процесов explorer.exe
и запусти его через диспетчер задач
если не исчезнет значит не експлорер запускает
и dumprep удали из автозагрузки он дебажет назад все

Richard 31.07.2009 13:49
или ваще в тупую сделай восстановление сис-мы =)

five5feer 31.07.2009 13:53
вот это банер, так банер!!

plas 31.07.2009 13:56
Востановление непоможет если дебажеться
нужен скрин процессов
и желательно HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Winlogon\
значения Shell

BLaZeViL 31.07.2009 14:07
Цитата:
Сообщение от Not Found...
Сделай логи AVZ,попробую помочь.
http://i072.radikal.ru/0907/37/d755de1e704dt.jpg
http://dump.ru/file/3146397 <- Логи


2plas
http://img181.imageshack.us/img181/2867/88363099.jpg

2plas HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Winlogon\ Shell = explorer.exe

Richard 31.07.2009 14:09
посмари тут... http://forum.sibnet.ru/index.php?showtopic=210997

Not Found... 31.07.2009 14:14
BLaZeViL выполни скрипт
Код:
begin
DeleteFile('C:\Program Files\SuperCopier2\SuperCopier2.exe');
end.
Перезагрусь комп.Подозрительное название :)

BLaZeViL 31.07.2009 14:16
Цитата:
Сообщение от plas
Заверши дерево процесов explorer.exe
и запусти его через диспетчер задач
если не исчезнет значит не експлорер запускает
и dumprep удали из автозагрузки он дебажет назад все
Дерево вырубил, банер исчез с эксплорером.


C:\Program Files\SuperCopier2\SuperCopier2.exe
Это прога заменяет стандартный копирователь винды ХР

BLaZeViL 31.07.2009 14:19
2Richard проделовал не помогает

plas 31.07.2009 14:20
В настройки рабочего стола зайди на вкладку веб посмотри стоит ли использвоания веб-страницы какой-нибудь.

Not Found... 31.07.2009 14:20
Вот ещё подозрительные файлы.
Код:
begin
 QuarantineFile('c:\program files\bonjour\mdnsresponder.exe','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\iv0i2g21.default\extensions\piclens@cooliris.com\libs\cooliris19.dll','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\iv0i2g21.default\extensions\piclens@cooliris.com\components\coolirisstub.dll','');
end.
Удалять не буду...просто карантин.

BLaZeViL 31.07.2009 14:26
Цитата:
Сообщение от plas
В настройки рабочего стола зайди на вкладку веб посмотри стоит ли использвоания веб-страницы какой-нибудь.
Чисто...

BLaZeViL 31.07.2009 14:29
Цитата:
Сообщение от Not Found...
Вот ещё подозрительные файлы.
Код:
begin
 QuarantineFile('c:\program files\bonjour\mdnsresponder.exe','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\iv0i2g21.default\extensions\piclens@cooliris.com\libs\cooliris19.dll','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\iv0i2g21.default\extensions\piclens@cooliris.com\components\coolirisstub.dll','');
end.
Удалять не буду...просто карантин.
Вышло окошко, что типа без ошибок...

А в протоколе:
Код:
Выполнен карантин файла c:\program files\bonjour\mDNSResponder.exe
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\iv0i2g21.default\ext  ensions\piclens@cooliris.com\libs\cooliris19.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\iv0i2g21.default\ext  ensions\piclens@cooliris.com\libs\cooliris19.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\iv0i2g21.default\ext  ensions\piclens@cooliris.com\components\coolirisst  ub.dll)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\iv0i2g21.default\ext  ensions\piclens@cooliris.com\components\coolirisst  ub.dll)
 Карантин с использованием прямого чтения - ошибка

plas 31.07.2009 14:31
зайди в c:\windows\system32\
и ищи ddl файлы измененные за
период когда он появился к примеру за два дня

plas 31.07.2009 14:32
да и в программ файлах посмотри на наличие папки AdSubscribe

BLaZeViL 31.07.2009 14:34
Цитата:
Сообщение от plas
зайди в c:\windows\system32\
и ищи ddl файлы измененные за
период когда он появился к примеру за два дня
=( Даже за 2 месяца не нашёл

Цитата:
Сообщение от plas
да и в программ файлах посмотри на наличие папки AdSubscribe
Нету.

plas 31.07.2009 14:34
BLaZeViL
bonjour - apple лабуда обновления ПО от негоже
а другие файлы это тулбары для серфинга.

А папку в програм файлас посмотрел ADsubcrible?



Поставь любой фаервол и нажми на информер карчое
и посмотри какой фаил вызывает соединение

Not Found... 31.07.2009 14:35
BLaZeViL хмм..удали эти файлы вручную.Если не получиться скачай Unlocker и удали с помощью него.
1 файл.
C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\iv0i2g21.default\ext ensions\piclens@cooliris.com\libs\cooliris19.dll

2 файл
C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\iv0i2g21.default\ext ensions\piclens@cooliris.com\components\coolirisst ub.dll

BLaZeViL 31.07.2009 14:36
Цитата:
Сообщение от plas
да и в программ файлах посмотри на наличие папки AdSubscribe
Нету.

plas 31.07.2009 14:38
Дай ссылку где поймал лучше всего еще

BLaZeViL 31.07.2009 14:59
Цитата:
Сообщение от Not Found...
BLaZeViL хмм..удали эти файлы вручную.Если не получиться скачай Unlocker и удали с помощью него.
1 файл.
C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\iv0i2g21.default\ext ensions\piclens@cooliris.com\libs\cooliris19.dll

2 файл
C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\iv0i2g21.default\ext ensions\piclens@cooliris.com\components\coolirisst ub.dll
Удалил) теперь лиса воще не запускаеться говорит типа уже запущен, через Админа запустил

BLaZeViL 31.07.2009 15:01
Цитата:
Сообщение от plas
Дай ссылку где поймал лучше всего еще
Если бы я знал))

Not Found... 31.07.2009 15:04
BLaZeViL комп перезагрузь..и скажи исчез ли банер :)

Not Found... 31.07.2009 15:09
Если не поможет выполни скрипт
PHP код:
begin
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFile('c:\progra~1\common~1\target marketing agency\tmagent\tmasrv.exe');
end
Это рекламная програмка...если не удалиться юзай Unlocker.

BLaZeViL 31.07.2009 15:17
Цитата:
Сообщение от Not Found...
BLaZeViL комп перезагрузь..и скажи исчез ли банер :)
Нет не исщез.

Цитата:
Сообщение от Not Found...
Если не поможет выполни скрипт
PHP код:
begin
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DeleteFile('c:\progra~1\common~1\target marketing agency\tmagent\tmasrv.exe');
end
Это рекламная програмка...если не удалиться юзай Unlocker.
Удалил, не помогает


Самое интересное, что можно послушать, как только захожу в инет, сразу появляется рекламки.

Not Found... 31.07.2009 15:25
Выполни скрипт
PHP код:
begin
 DeleteService('2GIS UpdateClientService');
 QuarantineFile('C:\WINDOWS\system32\TaskSwitch.exe','');
 QuarantineFile('C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll','');
 QuarantineFile('spci.sys','');
 QuarantineFile('C:\WINDOWS\system32\Startup.cpl','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndmgr.exe');
end
Больше ничего подозрительного не нашёл :(
ЗЫ Потом перезагрузи комп.

BLaZeViL 31.07.2009 15:36
Цитата:
Сообщение от Not Found...
Выполни скрипт
PHP код:
begin
 DeleteService('2GIS UpdateClientService');
 QuarantineFile('C:\WINDOWS\system32\TaskSwitch.exe','');
 QuarantineFile('C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll','');
 QuarantineFile('spci.sys','');
 QuarantineFile('C:\WINDOWS\system32\Startup.cpl','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sndmgr.exe');
end
Больше ничего подозрительного не нашёл :(
ЗЫ Потом перезагрузи комп.
Ксожелению не помогло :(

zifanchuck 31.07.2009 15:54
А какую прогу юзаете для проверки автозагрузки и просмотра процесов? У меня была норм прога, только название не помню. После переустановки винды он удалилась. буду очень благодарен

BLaZeViL 31.07.2009 17:01
http://forum.antichat.ru/showpost.php?p=1420833&postcount=6

plas 03.08.2009 06:57
для просмотра автозагрузки и процессов
Starter
для отлова соединений x-netstat самое простое


Время: 19:10