Решена баннеры в FireFox

Тема в разделе "Лечение компьютерных вирусов", создана пользователем djmt, 7 апр 2015.

Статус темы:
Закрыта.
  1. djmt
    Оффлайн

    djmt Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    В FireFox после загрузки исходной страницы(например yandex.ru) происходит самопроизвольное обновление страницы с загрузкой кучи баннеров. при попытке перехода по любой ссылке открывается рекламная страница с новом окне. Периодически наблюдается перехват исходной страницы этой же гадостью, которая плодит баннеры.
    В браузерах Chrome, IE, Opera проблема не наблюдается. В опере как только появились баннеры, удалил расширения с "кривыми" названиями и баннеры перестали появляться. Crome и IE, несмотря на наличие подобных расширений, проблема не появлялась. FireFox переустанавливал с полной очисткой всего что с ним было связано. В portable версии FireFox проблема не наблюдается.
     

    Вложения:

  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    EXPERTool - деинсталлируйте

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.
     
    Kиpилл нравится это.
  3. djmt
    Оффлайн

    djmt Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    EXPERTool - это родная утилита управления видеокартой, но фиг с ней переживем. Снес ее.
    AdwCleaner ничего подозрительного не показывает.
    --- Объединённое сообщение, 9 апр 2015, Дата первоначального сообщения: 9 апр 2015 ---
    вот результат перехода в firefox со страницы yandex.ru по ссылке "маркет"(market.yandex.ru)
    firefox.jpg
     

    Вложения:

  4. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.221
    Симпатии:
    4.978
    Рекламные ссылки прописаны.
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  5. djmt
    Оффлайн

    djmt Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Готово.
     

    Вложения:

    • Addition.txt
      Размер файла:
      54,8 КБ
      Просмотров:
      3
    • FRST.txt
      Размер файла:
      48,9 КБ
      Просмотров:
      7
    • Shortcut.txt
      Размер файла:
      229,8 КБ
      Просмотров:
      3
  6. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.221
    Симпатии:
    4.978
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-3315997795-3273719350-2095500869-1001\...\MountPoints2: {aa662704-3cef-11e3-bed1-60a44c5fa0d3} - "I:\AutoRun.exe"
    ShellIconOverlayIdentifiers-x32: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} =>  No File
    ShellIconOverlayIdentifiers-x32: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} =>  No File
    ShellIconOverlayIdentifiers-x32: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} =>  No File
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391545201&from=cor&uid=PLEXTORXPX-128M5Pro_P02344105042&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391545201&from=cor&uid=PLEXTORXPX-128M5Pro_P02344105042&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3315997795-3273719350-2095500869-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391545201&from=cor&uid=PLEXTORXPX-128M5Pro_P02344105042&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3315997795-3273719350-2095500869-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391545201&from=cor&uid=PLEXTORXPX-128M5Pro_P02344105042&q={searchTerms}
    ShellExecuteHooks-x32:  - {16664848-0E00-11D2-8059-000000000000} -  No File [ ]
    StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.delta-homes.com/?type=sc&ts=1402562498&from=wpm0612&uid=PLEXTORXPX-128M5Pro_P02344105042
    2015-04-07 23:40 - 2015-04-07 23:40 - 00127092 _____ () C:\Users\djmt\AppData\Roaming\51BAC76BD479F3566A7D3C46F5D8730F
    2015-04-07 23:40 - 2015-04-07 23:40 - 00116721 _____ () C:\Users\djmt\AppData\Roaming\31008EBFBAAD199FB8ACD3E3659E3F58
    2015-04-07 23:40 - 2015-04-07 23:40 - 00104304 _____ () C:\Users\djmt\AppData\Roaming\7DB23B23631C0CC9AE2FA9CF0DB8C100
    2015-04-01 21:42 - 2015-04-06 23:25 - 00000004 _____ () C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
    HKU\S-1-5-21-3315997795-3273719350-2095500869-1001\Software\Classes\.exe:  =>  <===== ATTENTION!
    HKU\S-1-5-21-3315997795-3273719350-2095500869-1001\Software\Classes\exefile:  <===== ATTENTION!
    HKU\S-1-5-21-3315997795-3273719350-2095500869-1001\...\StartupApproved\Run: => ""
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Сообщите о наличии проблем.
     
  7. djmt
    Оффлайн

    djmt Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Проблема осталась
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      5,9 КБ
      Просмотров:
      2
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
  9. djmt
    Оффлайн

    djmt Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    вот файлик
     

    Вложения:

  10. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Расширение Adblock в Опера какую версию имеет?

    Расширения
    сами устанавливали в Опера?

    Интернет через роутер?
     
  11. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.221
    Симпатии:
    4.978
    + дополнительно

    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\priceru.xml [2015-04-03]
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    После перезагрузки сообщите не полегчало ли.
     
    Последнее редактирование: 12 апр 2015
  12. djmt
    Оффлайн

    djmt Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    указанные расширения не устанавливал, интернет через роутер, но в Portable Firefox проблема отсутствует.

    Нет, эти сайты и адвари bycontent лезут и лезут и только в установленном в систему FireFox
    --- Объединённое сообщение, 12 апр 2015 ---
    AdBlock самый свеженький - Версия 2.24
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      665 байт
      Просмотров:
      3
  13. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.221
    Симпатии:
    4.978
    Попробуйте отключить расширения браузера - проверить не пропадет ли реклама.
    +
    Запустите avz - сервис - поиск данных в реестре.
    Введите bycontent (исправьте если я написал с ошибкой имя сайта.)
    Найденное сохраните и прикрепите.
     
  14. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Здравствуйте! Чтобы сделать следующее


    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

    Код (Text):
    Folder: C:\Program Files (x86)\Mozilla Firefox\browser\defaults\preferences
    Folder: C:\Program Files (x86)\Mozilla Firefox\defaults\pref
    cmd: type "C:\Program Files (x86)\Mozilla Firefox\my.cfg"
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Это не скрипт для очистки, но только для информации, чтобы проблема не будет решена после него, но, основываясь на информации, в нем будет в состоянии создать новый, чтобы решить эту проблему.
     
    Kиpилл нравится это.
  15. djmt
    Оффлайн

    djmt Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    по bycontext ничего не нашлось, поснифил firefox во время появлений адварь, постоянные запросы на домен akamaihd.net, провел поиск по нему нашел несколько ключей со скриптами к программам, которые я не устанавливал файл прикрепил.
    так же провожу поиск по другим доменам к которым обращается firefox во время самопроизвольных обновлений запрошенной страницы...

    сделал, файл прикрепил.
    --- Объединённое сообщение, 15 апр 2015, Дата первоначального сообщения: 15 апр 2015 ---
    добавил результат поиска по noproblemppc
    --- Объединённое сообщение, 15 апр 2015 ---
    добавил результат поиска по tlscdn
    --- Объединённое сообщение, 15 апр 2015 ---
    это все что нашел...
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      14,4 КБ
      Просмотров:
      2
    • akamaihd.reg
      Размер файла:
      1,1 МБ
      Просмотров:
      2
    • noproblemppc.reg
      Размер файла:
      67 КБ
      Просмотров:
      2
    • tlscdn.reg
      Размер файла:
      65,4 КБ
      Просмотров:
      1
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Код (Microsoft Registry):
    HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Ge-Force\
    Навсякий случай сделайте экспорт этого ключа, а потом удалите он от адвари "Ads by Ge-Forces".
    это расширение из Оперы удалите, это тоже адварь.

    Проверьте при запуске браузера в безопасном режиме проблема наблюдается?
     
  17. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

    Код (Text):
    start
    C:\Program Files (x86)\Mozilla Firefox\browser\defaults\preferences\my-prefs.js
    C:\Program Files (x86)\Mozilla Firefox\my.cfg
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Сообщите о наличии проблем...?!?
     
  18. djmt
    Оффлайн

    djmt Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Само расширение в опере удалено, файлы с папкой остались, удалил.

    Ge-Force, SavePass 1.1 и Sense - это все адвари, их почикал еще CureIt от DrWeb. непонятно почему ключи со скриптами оставил.
    Эпопея длится уже с месяц, жаль сразу на этот форум не набрел.
    все их ключики сохранил и удалил, для анализа(если нужно) прилагаю.

    после удаления всех ключей и при запуске в безопасном режиме - проблема осталась.
    --- Объединённое сообщение, 15 апр 2015, Дата первоначального сообщения: 15 апр 2015 ---
    выполнил, лог прилагаю.
    Проблема исчезла!
    Непонятно как эта гадость появлялась в конфиге, если firefox полностью переустанавливался с полной чисткой всех хвостов?
    --- Объединённое сообщение, 15 апр 2015 ---
    Какие действия посоветуете провести для профилактики заражения?
     

    Вложения:

    • ge-force.reg
      Размер файла:
      43,1 КБ
      Просмотров:
      1
    • savepass 1.1.reg
      Размер файла:
      39,4 КБ
      Просмотров:
      1
    • sense.reg
      Размер файла:
      40,4 КБ
      Просмотров:
      1
    • Fixlog.txt
      Размер файла:
      726 байт
      Просмотров:
      1
  19. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    спасибо, пригодится.

    Удалите папку C:\FRST со всем содержимым.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
    --- Объединённое сообщение, 15 апр 2015, Дата первоначального сообщения: 15 апр 2015 ---
    +
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.
     
Статус темы:
Закрыта.

Поделиться этой страницей