Решена Банеры во всех браузерах и перенаправление ссылок

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Maxim, 1 авг 2014.

Статус темы:
Закрыта.
  1. Maxim
    Оффлайн

    Maxim Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Добрый день.

    Во всех браузерах в правом нижнем углу стали постоянно появляться баннеры. Периодически при нажатии на какую то ссылку происходит перенаправление на другую спам-страницу.

    Прикрепляю архив с логами, сделанный вроде по всем инструкциям.

    Помогите пожалуйста.

    п.с. забавно, что после регистрации пропали все пользовательские темы из раздела, не сразу понял где тему открывать даже )
     
  2. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Последнее редактирование: 1 авг 2014
  3. Maxim
    Оффлайн

    Maxim Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Архив был как раз в другой теме, которую удалили =)
     

    Вложения:

  4. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    1.
    Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFile('C:\Users\Maxim\AppData\Roaming\Yandex\YandexDisk\YandexDiskStarter.url','');
    QuarantineFile('C:\ProgramData\Search Protection\SearchProtection.exe','');
    DeleteFile('C:\ProgramData\Search Protection\SearchProtection.exe','32');
    DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
    DelBHO('{6c97a91e-4524-4019-86af-2aa2d567bf5c}');
    RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Search Protection');
    ExecuteSysClean;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    2. В свойствах ярлыков
    в поле Объект удалите
    (http://google-poickcoms.ru)
    Путь к исполняемому файлу
    переименуйте в
    При необходимости на вкладке Общая снимите галочку Только чтение.

    В свойствах ярлыков
    в поле Объект удалите
    (http://google-poickcoms.ru)
    При необходимости на вкладке Общая снимите галочку Только чтение.

    3. Повторите логи по правилам.
     
    Последнее редактирование: 1 авг 2014
  5. Maxim
    Оффлайн

    Maxim Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Вроде стало меньше, но все равно ещё есть...
     

    Вложения:

  6. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Пофиксите в HiJack
    Код (Text):
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=33bd073bee6591a7b1acb6015b3bb7aa&text=
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=33bd073bee6591a7b1acb6015b3bb7aa&text=
    Приписку в ярлыках
    не убрали
     
    Последнее редактирование: 1 авг 2014
  7. Maxim
    Оффлайн

    Maxim Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    может я чего не вижу, но ярлык яндекса был чист и сейчас вроде чист.... на всякий приложил картинку...
    в IE щас убрал, хотя мне казалось, что я уже убирал её...

    Указанное в HiJeck пофиксил, приложил лог.
     

    Вложения:

  8. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Тогда еще раз логи сделайте автосборщиком
     
  9. Maxim
    Оффлайн

    Maxim Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Вот ещё один сбор.

    Заметил, ещё вконтакте появляться реклама в ленте новостей и реклама в виде стилизованных сообщений.
     

    Вложения:

  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.
     
  11. Maxim
    Оффлайн

    Maxim Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Сделано вроде
     

    Вложения:

  12. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
     
  13. Maxim
    Оффлайн

    Maxim Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Сделал, прикрепляю отчет.

    Реклама не исчезла, поэтому на всякий случай сразу прикрепляю логи автосборщика.
     

    Вложения:

  14. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    1.
    Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFile('C:\temp\z64395Lb\setup.exe','');
    QuarantineFile('C:\Windows\system32\Tasks\{AD73D3FA-C45E-4322-BF31-C04ABC9EC760}','');
    QuarantineFile('C:\Users\Maxim\AppData\Local\Yandex\yapin\Yandex.url','');
    DeleteFile('C:\temp\z64395Lb\setup.exe');
    DeleteFile('C:\Windows\system32\Tasks\{AD73D3FA-C45E-4322-BF31-C04ABC9EC760}');
    ExecuteSysClean;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    2. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    3. Ярлык:
    исправьте с помощью утилиты ClearLNK

    4.
    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве
     
  15. Maxim
    Оффлайн

    Maxim Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Вот...
     

    Вложения:

  16. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    В MBAM ничего удалять не нужно. Что с проблемой? Незнакомые расширения в браузерах есть? Скачайте Портативный браузер и проверьте в нем есть ли реклама.
     
  17. Maxim
    Оффлайн

    Maxim Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    В портативном браузере рекламы не видно =) попробовать переустановить мозилу и IE?
     
  18. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Перечислите что там.
     
  19. Maxim
    Оффлайн

    Maxim Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    в мозиле были какой то toolbar от ad-aware и панель инструментов яндекса.... Удалил все расширения, во время удаления NOD увидел вирусню (если интересно, картинка приложена). Нажал очистить. На первый взгляд весь мусор исчез... Спасибо всей команде форума за помощь.. Пусть тема ещё денек повисит, позже отпишусь, действительно ли весь мусор закончился )
     

    Вложения:

    • vir.png
      vir.png
      Размер файла:
      25,9 КБ
      Просмотров:
      6
  20. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Пока наблюдаете, закройте возможные уязвимости системы:
    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
Статус темы:
Закрыта.

Поделиться этой страницей