Решена Открывается окно с вкладкой Sponsorship

Статус
В этой теме нельзя размещать новые ответы.

Елена

Новый пользователь
Сообщения
34
Реакции
1
Здравствуйте, уважаемые!
Помогите мне, пож-ста.
Подозреваю, что поймала вирус.
Само по себе в браузере открывается окно с вкладкой Sponsorship.
Период - около 2-3 недель.
Сначала открывался раз в 2-3 дня, теперь - почти каждый день.
В окне браузера сверкающее сообщение, типа:
"Участие в грин-кард программе"
ИЛИ
"Вы выиграли то-то"
Адрес сайта: m.bingoodthingshappen.com

Анитивирусник ничего не находит (microsoft security essentials).

ОЧЕНЬ буду благодарна за помощь!
 

Вложения

  • virusinfo_syscure.zip
    20.9 KB · Просмотры: 4
  • virusinfo_syscheck.zip
    18.8 KB · Просмотры: 0
  • info.txt
    51 KB · Просмотры: 1
  • log.txt
    42.2 KB · Просмотры: 3
Приветствую Елена, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Sandor, доброй ночи!
Нет, не моя.
Я видела ее, но не рискнула повторять действия, описанные там.
А Вы рекомендуете повторить?
 
Ни в коем случае!
 
Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll

2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
 DeleteFile('C:\Users\User\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
 DeleteFile('C:\Windows\Tasks\DealPly','32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}',);
 DeleteFileMask('C:\Program Files\DealPly', '*.*', true);
 DeleteDirectory('C:\Program Files\DealPly');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Подготовьте новые логи AVZ и Rsit.

6. Подготовьте лог MBAM.
 
Точно так же как вы сделали их в самом начале.
 
Это - MBAM
 

Вложения

  • MBAM-log-2013-08-02 (22-14-02).txt
    6 KB · Просмотры: 12
Вот логи...
 

Вложения

  • log.txt
    42.6 KB · Просмотры: 2
  • info.txt
    51 KB · Просмотры: 1
  • virusinfo_syscure.zip
    23.8 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    23.5 KB · Просмотры: 1
Попробуйте через Установку/Удаление программ деинсталлировать StartNow Toolbar.

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:
Обнаруженные папки: 4
C:\Users\User\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Users\User\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\DealPly\UpdateProc\src.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
 
Sandor, деинсталировала StartNow Toolbar.
Делаю сканирование диска C.
Скажите, пож-ста, удалить всю эту "красоту" нужно будет после того, как нажму кнопку "Показать отчет"?

Добавлено через 3 часа 29 минут 17 секунд
Sandor, я удалила 4 папки и 4 файла.
Но Вы знаете, там еще было 3 файла...
Куда сохранился этот последний отчет?
 
Нашла.
Прошу прощения.
Прикрепляю...
 

Вложения

  • mbam-log-2013-08-03 (03-12-31).txt
    5.1 KB · Просмотры: 3
Удалите только
C:\Users\User\Downloads\Лечим комп\backups\backup-20130802-152246-379.dll (PUP.DealPly) -> Действие не было предпринято.
Реклама еще присутствует?
 
shestale, я же могу удалить его вручную?
Нет, Вы знаете, реклама больше не вылетает, НО за эти 2-3 дня, пока Вы помогаете мне "лечить" комп, он у меня не активно используется (т.е. я редко его включаю).

Добавлено через 6 минут 41 секунду
shestale, а можно Вас еще спросить?
1. Что это был за вирус такой?
2. Откуда он взялся?
3. Что он мне "заразил"?
4. Меня интересует еще и то, мог ли он просканировать мои пароли и доступы к чему-либо (на форумы, к панелям управления хостингом, сбер онлайн, почту)?
5. На этом лечение закончено?
6. Программы, которые я скачивала, я теперь могу удалить с компа?
7. И посоветуйте, пож-ста, антивирусник :)

Добавлено через 3 минуты 11 секунд
Сетевой экран включать?

Добавлено через 14 минут 31 секунду
shestale, кстати, забыла еще сказать, два раза антивирусник, который я скачала и который пока еще 12 дней работает, предотвращал попытку доступа к вредоносному сайту. Вот сейчас - снова. Потому и вспомнила.
 
я же могу удалить его вручную?
Да.

Что это был за вирус такой?
Т.н. потенциально нежелательное ПО. Кража паролей не замечена, но если Вы волнуетесь за свои данные, смена паролей не повредит.

предотвращал попытку доступа к вредоносному сайту
MBAM излишне подозрителен, поэтому можете его деинсталлировать.

Для верности, проверимся еще так:

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

По окончании Вам будут даны рекомендации по закрытию уязвимостей системы и по утилитам лечения.


И посоветуйте, пож-ста, антивирусник :)
Антивирусы, межсетевые экраны (firewall)
 
Спасибо за ответы.
Отсканированный отчет ниже.
 

Вложения

  • AdwCleaner[R1].txt
    3.9 KB · Просмотры: 2
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
 
Прикрепляю.
Перезагружаюсь.
 

Вложения

  • AdwCleaner[R2].txt
    4 KB · Просмотры: 3
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу