Решена На странице браузера вирус

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Lusec, 17 мар 2015.

Метки:
Статус темы:
Закрыта.
  1. Lusec
    Оффлайн

    Lusec Пользователь

    Сообщения:
    100
    Симпатии:
    18
    Привет всем.

    Поймала какой-то мерзкий браузерный вирус. На каждой открываемой странице, после полной загрузки появляется рекламный блок. Любая активность на странице приводит к открытию новой страницы с игрой, интернет-магазином или какой-то другой хренью.
     

    Вложения:

  2. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe');
    TerminateProcessByName('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugincontainer.exe');
    TerminateProcessByName('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\3\plugin.exe');
    TerminateProcessByName('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\8\plugin.exe');
    TerminateProcessByName('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\5\plugin.exe');
    QuarantineFile('C:\Program Files\Roll Around\Extensions\83c0e288-8fa0-43d3-acc7-c1e839d85abc.dll', '');
    QuarantineFile('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe', '');
    QuarantineFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugincontainer.exe', '');
    QuarantineFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\3\plugin.exe', '');
    QuarantineFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\8\plugin.exe', '');
    QuarantineFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\5\plugin.exe', '');
    DeleteFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\5\plugin.exe', '32');
    DeleteFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\8\plugin.exe', '32');
    DeleteFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\3\plugin.exe', '32');
    DeleteFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugincontainer.exe', '32');
    DeleteFile('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe', '32');
    DeleteFile('C:\Program Files\Roll Around\Extensions\83c0e288-8fa0-43d3-acc7-c1e839d85abc.dll', '32');
    DeleteFileMask('C:\Program Files\Roll Around', '*', true);
    DeleteFileMask('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf', '*', true);
    DeleteFileMask('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf', '*', true);
    DeleteDirectory('C:\Program Files\Roll Around');
    DeleteDirectory('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf');
    DeleteDirectory('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf');
    DelBHO('{83c0e288-8fa0-43d3-acc7-c1e839d85abc}');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 17 мар 2015
    Lusec нравится это.
  3. Lusec
    Оффлайн

    Lusec Пользователь

    Сообщения:
    100
    Симпатии:
    18
    Скрипты сделала. Архив отправила формой.

    Логи AutoLogger и AdwCleaner прикладываю
     

    Вложения:

  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Lusec,
    читайте рекомендации внимательно!
    1) Вас просили только просканировать в AdwCleaner а не удалять всё.
    2) Логи переименовывать не нужно. Этим вы только путаете.
    Прикрепите ещё файлы

    +
    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
     
  5. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
    Что с проблемой?
     
  6. Lusec
    Оффлайн

    Lusec Пользователь

    Сообщения:
    100
    Симпатии:
    18
    Сорри. Руки на кнопочки нажимают быстрее, чем голова думает :(
    AdwCleaner[S0].txt - [2512 байт] - [17/03/2015 21:53:23] прикладываю, а второй AdwCleaner[S1].txt - [1974 байт] - [17/03/2015 22:24:47] Не нашла, наверно удалила вчера (ответить на вопрос "Зачем?" не смогу).
     

    Вложения:

  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    не ответили.
    это тоже сделайте.
     
  8. Lusec
    Оффлайн

    Lusec Пользователь

    Сообщения:
    100
    Симпатии:
    18
    Простите за молчание - совершенно не было времени с утра.
    Надеюсь, проблема решится.
    --- Объединённое сообщение, 18 мар 2015 ---
    LOG AVZ: http://files.webfile.ru/12a6339a27a08dbc90b0bb60fde25912
    --- Объединённое сообщение, 18 мар 2015, Дата первоначального сообщения: 18 мар 2015 ---
    Adwcleaner удалила

    Базы обновила

    Еще раз извините, совершенно не было времени с утра. Думала успею в обеденный перерыв. В результате скрипт сделала, а времени залить его в файлообменник не хватило.
     
    Последнее редактирование: 18 мар 2015
  9. Lusec
    Оффлайн

    Lusec Пользователь

    Сообщения:
    100
    Симпатии:
    18
    Добрый день. Спасибо за помощь. Надеюсь, в ближайшем времени никаких зловредов больше не поймаю.

    Прошу прощения за навязчивость и, возможно, бестактность, но мне было бы приятно услышать Ваши комментарии по поводу последнего Лога - все в порядке, никаких вирусов больше нет?
    --- Объединённое сообщение, 19 мар 2015, Дата первоначального сообщения: 19 мар 2015 ---
    Еще раз извините за то, что не ответила мгновенно на ваш вопрос. Надеюсь, выразительное молчание в теме свидетельствует о решении проблемы. Рекламный блок в Хроме больше не появляется, но при открытии Мазиллы выскочило сообщение с запросом о разрешении расширению изменить настройки браузера со ссылкой на С:\Пользователи\Ххх\ApData\Roaming\Mozilla... Расширение удалила в настройках браузера, но удалила ли я его из компьютера?
     
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
    --- Объединённое сообщение, 19 мар 2015 ---
    при удаление через настройки оно полностью удаляется.
     
  11. Lusec
    Оффлайн

    Lusec Пользователь

    Сообщения:
    100
    Симпатии:
    18
    Скрипт выполнила. "Часто используемые уязвимости не обнаружены. Скрипт выполнен без ошибок."

    Спасибо за помощь.
     
Статус темы:
Закрыта.

Поделиться этой страницей