Решена Открываются баннеры.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Boomklaack, 5 апр 2015.

Статус темы:
Закрыта.
  1. Boomklaack
    Оффлайн

    Boomklaack Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Доброго времени суток, добрые люди.
    У меня такая проблема: при открытии браузера на странице открываются три баннера с рекламой (adblock их блокирует, но они всё же присутствуют) , так же видно , что уходят данные при загрузке страницы на сторонние ресурсы и ещё периодически самопроизвольно открывается ещё одно окно с лотереей или уведомляющее , что я якобы выиграл деньги.
    Вчера с помощью утильки Dr.Web CureIt проверил полностью диск С. Были найдены adware которые я в последствии удалил.Но проблема осталась.
    Сегодня я так же произвёл проверку, проверил в безопасном режиме с помощью Dr.Web CureIt "быстрой проверкой" и проверил C:\Users ни чего не было найдено при этом.
    На форуме Dr.Web мне так и не помогли (http://forum.drweb.com/index.php?showtopic=320787 вот моя тема если что). Мозилу переустанавливал два раза, результата не дало, в Хроме и Яндекс браузере баннеры не появляются, но видно, что данные уходят на сторонние сайты по типу этого a.visadd.com и другие.Чистил Ccleaner"ом.
     
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
  3. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Boomklaack,
    + к стандартным логам дополнительно сразу сделайте ещё

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  4. Boomklaack
    Оффлайн

    Boomklaack Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Всё сделал,как написано вот логи.AdwCleaner правда не закрывал, там две строчки GlobalUdate Service с галочками и не понятно, что с ними делать.
     

    Вложения:

    Последнее редактирование: 5 апр 2015
  5. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Здравствуйте!

    Update for Html5 geolocation provider - рекомендую деинсталировать.

    ProxyServer = 77.246.101.130:80 - сами прописывали?
    если полистаете по вкладкам, то увидите что там на самом деле ещё много строчек )))

    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    QuarantineFile('C:\Users\Гари Сильвер\AppData\Roaming\Mail.Ru\CODEXi\Steam', '');
    QuarantineFileF('C:\Users\Гари Сильвер\AppData\Roaming\Mail.Ru\CODEXi', '*.exe, *.dll, *.sys, *.bat, *.vbs, .js', true, '', 0, 0);
    QuarantineFile('???????\AppData\Roaming\1JIZKfasFPBRlKGI5CnwD.exe', '');
    DeleteFile('C:\Windows\Tasks\1JIZKfasFPBRlKGI5CnwD.job', '32');
    DeleteFile('???????\AppData\Roaming\1JIZKfasFPBRlKGI5CnwD.exe', '32');
    DeleteFile('C:\Windows\Tasks\AlterGeoUpdater-S-1-5-18.job', '32');
    DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-1.job', '32');
    DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-11.job', '32');
    DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-2.job', '32');
    DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-4.job', '32');
    DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-5.job', '32');
    DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-5_user.job', '32');
    DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-6.job', '32');
    DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-7.job', '32');
    DeleteFile('C:\Windows\Tasks\quiz_games_notification_service.job', '32');
    DeleteFile('C:\Windows\Tasks\quiz_games_updating_service.job', '32');
    DeleteFile('C:\Windows\Tasks\VFYWlq6V.job', '32');
    DeleteFile('C:\Windows\system32\Tasks\AlterGeoUpdater-S-1-5-18', '32');
    DeleteFile('C:\Windows\system32\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-1', '32');
    DeleteFile('C:\Windows\system32\Tasks\{B125D3DC-CE86-4E0A-9B46-4132B529D835}', '32');
    DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
    DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #0');
    BC_ImportAll;
    ExecuteSysClean;
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
     
  6. Boomklaack
    Оффлайн

    Boomklaack Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Update for Html5 geolocation provider удалил перед сканированием примерно за час.
    На счёт прокси - ни чего не прописывал.
    Спасибо, сейчас выполню.
    --- Объединённое сообщение, 5 апр 2015 ---
    Подскажите, после того, как в AdwCleaner (мэил.ру агент был у меня,но я его с месяц назад удалил и не пользуюсь более)получается, что удалять всё, я так и сделал и прога закрылась. Теперь мне , чтоб отчёт вам отправить, снова сканировать?
     
    Последнее редактирование: 5 апр 2015
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Не должна была закрыться. Закройте все программы, повторите сканирование и снова нажмите Очистить, должна произойти перезагрузка.
     
  8. Boomklaack
    Оффлайн

    Boomklaack Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Эта прога у меня скачалась в загрузки,я её кинул на рабочий стол, сделал всё,потом удалил и она закрылась и исчезла.Даже ехе. файла нету на столе.:Dntknw:
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Значит перепутали кнопки Очистить и Удалить. Удалить - это деинсталляция. Качайте заново сканируйте и очищайте
     
  10. Boomklaack
    Оффлайн

    Boomklaack Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Извиняюсь, я ботан перепутал кнопочки :Blush2:
    Всё сдела, ща ещё повторно проверку запущу, баннеры исчезли,а вот при загрузке страницы всё-таки связь со сторонними сайтами есть.
     

    Вложения:

  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1)
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.
    Подробнее читайте в этом руководстве.

    2) - Очистите кеш и куки браузеров

    3) После этого ещё раз проверьте проблему и поясните подробней, что вы называете
    а также уточните это происходит на всех сайтах? В любом браузера или только в лисе?
    --- Объединённое сообщение, 5 апр 2015 ---
    + раз прокси сами не прописывали, то

    Профиксите в HijackThis
    Код (Text):
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 77.246.101.130:80
    и после этого сделайте
     
  12. Boomklaack
    Оффлайн

    Boomklaack Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Только, что просканил повторно через Shift в AutoLogger прикрепляю отчёт.
    А вот с Хайджеком проблема не знаю, что там выбрать вот скрин его http://clip2net.com/s/3fyRPcT
    Только, что открыл сайт и там опять были эти баннеры http://clip2net.com/s/3fyTmwW
    То что я называю связью со сторонними сайтами - когда открываю к примеру ваш сайт внизу слева маленькая полосочка и там по правилам мелькает адрес вашего сайта при загрузке страницы, например даже если на аватар ваш навести будет прописываться адрес сайта этого,а у меня при загрузке страницы помимо адреса вашего сайта, там мелькают какие-то левые сайты по типу этого a.vissadd.com там их целая куча это один из тех что я успел запомнить.
    --- Объединённое сообщение, 5 апр 2015 ---
    Вот смотрите http://clip2net.com/s/3fyUJPa
    --- Объединённое сообщение, 5 апр 2015, Дата первоначального сообщения: 5 апр 2015 ---
    И да когда чистил кеш и куки в других браузерах, наблюдалась эта связь правда баннеров нету.
     

    Вложения:

  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".


      [​IMG]

    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Подробнее читайте в этом руководстве.
     
  14. Boomklaack
    Оффлайн

    Boomklaack Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Вот пожалуйста
     

    Вложения:

    • Addition.txt
      Размер файла:
      26,2 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      63,7 КБ
      Просмотров:
      1
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    HKU\S-1-5-21-1866462090-2718774502-2235001341-1000\...\Run: [AlterGeoUpdater] => C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
    HKU\S-1-5-18\...\Run: [AlterGeoUpdater] => C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
    HKU\S-1-5-18\...\Run: [] => [X]
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll No File
    FF Plugin HKU\S-1-5-21-1866462090-2718774502-2235001341-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll No File
    2015-03-31 11:14 - 2015-03-31 11:14 - 00005655 _____ () C:\Users\Гари Сильвер\AppData\Roaming\1JIZKfasFPBRlKGI5CnwD
    2015-03-31 11:14 - 2015-03-31 11:14 - 00004387 _____ () C:\Users\Гари Сильвер\AppData\Roaming\VFYWlq6V
    2015-03-31 11:14 - 2015-03-31 11:14 - 0005655 _____ () C:\Users\Гари Сильвер\AppData\Roaming\1JIZKfasFPBRlKGI5CnwD
    2015-03-31 11:14 - 2015-03-31 11:14 - 0004387 _____ () C:\Users\Гари Сильвер\AppData\Roaming\VFYWlq6V
    2013-08-15 09:52 - 2014-01-07 12:46 - 0000130 _____ () C:\Users\Гари Сильвер\AppData\Roaming\WB.CFG
    2013-08-31 18:08 - 2013-08-31 18:08 - 0000005 _____ () C:\Users\Гари Сильвер\AppData\Roaming\WBPU-FF.DAT
    2013-12-31 17:46 - 2014-01-03 12:46 - 0000005 _____ () C:\Users\Гари Сильвер\AppData\Roaming\WBPU-Q5-TTL.DAT
    2013-08-15 09:52 - 2014-01-07 12:46 - 0000005 _____ () C:\Users\Гари Сильвер\AppData\Roaming\WBPU-TTL.DAT
    2013-03-23 20:51 - 2015-01-21 14:28 - 0004096 _____ () C:\Users\Гари Сильвер\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    2014-09-18 16:45 - 2014-09-18 16:45 - 0585728 _____ () C:\Users\Гари Сильвер\AppData\Local\file__0.localstorage
    2013-05-07 22:59 - 2013-08-03 20:34 - 0007597 _____ () C:\Users\Гари Сильвер\AppData\Local\Resmon.ResmonCfg
    2014-06-04 13:35 - 2014-06-04 13:36 - 0000000 _____ () C:\Users\Гари Сильвер\AppData\Local\{5EE372CA-FECB-4063-908D-AB992843FEFD}
    2014-02-15 00:32 - 2014-02-15 00:32 - 0000413 _____ () C:\ProgramData\fontcacheev1.dat
    2013-03-23 12:51 - 2013-03-23 12:51 - 0004104 _____ () C:\ProgramData\ojobkspa.ako
    2013-03-23 12:03 - 2013-03-23 12:03 - 0004096 _____ () C:\ProgramData\tbythlfa.ktx
    C:\ProgramData\fontcacheev1.dat
    C:\Users\Все пользователи\fontcacheev1.dat

    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
     
  16. Boomklaack
    Оффлайн

    Boomklaack Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Готово

    Вот эти сайты, которые мелькают http://clip2net.com/s/3fz609g
    --- Объединённое сообщение, 6 апр 2015 ---
    Может мне винду переустановить?
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      5,6 КБ
      Просмотров:
      1
  17. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Баннеры еще проявляются?
    Попробуйте отключить все дополнения и плагины файрфокса и проверить проблему - это раз
    Реклама есть на любом сайте даже на нашем и это один из способов оплаты хостинга - это два
    Если на нашем сайте вы видите что-то, что ведет на подозрительные или вредоносные сайты, пишите, заблокируем рекламодателя - это три
    Для того чтобы не видеть рекламы есть много различных программ и дополнений (AdBlock, uBlock, Admuncher, NoScript, uMatrix и проч) - это 4

    Если есть еще баннеры пишите инструментов у нас еще хватает.
     
  18. Boomklaack
    Оффлайн

    Boomklaack Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Да, проявляются,как и раньше даже при выключенных плагинах и дополнениях.На счёт рекламы на сайтах я в курсе, но эта реклама выскакивает везде практически, даже на тех сайтах , которые я часто посещаю и знаю, что там такой рекламы не было.
    Спасибо вам за проделанную работу, если не возражаете, то завтра продолжим это не легкое дело :(
     
  19. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Да, до завтра, нам тоже спать хочется, поднимите тему, Вам ответят
     
  20. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.061
    Симпатии:
    4.488
    Сделайте аппаратный сброс роутера(Reset) и при необходимости введите настройки заново, согласно договора на подключение с провайдером.
    Затем смените пароль на роутере, на более сложный.
    +
    Почистите кэш и куки в браузерах.

    Проверяйте.
     
    Kиpилл нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей