Решена подменятор видео

Тема в разделе "Лечение компьютерных вирусов", создана пользователем may may, 18 ноя 2015.

Статус темы:
Закрыта.
  1. may may
    Оффлайн

    may may Новый пользователь

    Сообщения:
    21
    Симпатии:
    0
    Здравствуйте!
    Обычно ночью но иногда и днем подменяется видео - воспроизводится видео по теме страницы но с левых сайтов это - azzy.ru или bazr.ru(посещяемость у обоих по миллиону - что не реально без malware) Оба используются как реклама услуг advideo.ru После отката Acronis до базовой копии с обновлением Хрома и Виндовс - работает нормально. При малейших изменениях вылазит снова. Последний раз вылезло после установки Магадан и Датакол. Первое время после чистки Advcleaner - исчезает но после нескольких чисток перестает что то находить и подменятор остается. Вчера вечером подменялось видео сегодня с утра нет, но логи отправляю. Помогите пожалуйста. Ничем не смог удалить сам.
     

    Вложения:

  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    скачайте отсюда Оперу и проверьте проблему в ней.

    Лог сканирования Advcleaner прикрепите.

    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
     
  3. may may
    Оффлайн

    may may Новый пользователь

    Сообщения:
    21
    Симпатии:
    0
    Здравствуйте!
    Оперу скачал - проблема в ней есть, настойчиво просит обновиться - Нужно ли?
    Скрипт №8 выполнил лог загрузил.
    Спасибо.
     
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    не сделали, хотя и так ясно в чём проблема.

    Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере, очистите куки и кэш браузеров.

    Проверяйте работу в Интернете.
     
  5. may may
    Оффлайн

    may may Новый пользователь

    Сообщения:
    21
    Симпатии:
    0
    Здравствуйте!
    У меня нет роутера. Файл сожалею загрузи в форме. Сорри. Куки и кэш попробую но я неоднократно переустанавлиавал хром в т ч и порт версию. Ссылка на лог если это она: virusinfo_auto_USERHOM-U73F82G.zip — RGhost — файлообменник
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    видать неправильно поняли. Этот файл virusinfo_auto_USERHOM-U73F82G.zip - надо было загрузить через форму.
    Лог Advcleaner-а - прикрепить сюда вложением.
    пока не будут исправлены троянские DNS (подозреваю, что проблему у вас в них), то будет как раз указанный кратковременный эффект.


    Сделайте лог этой утилитой HiJackThis 2.0.6 Alfa 1.4.zip — RGhost — файлообменник

    + Выполните скрипт в AVZ:
    Код (Text):
    var
    STR : TStringList;
    CMDFile: string;
    begin
    ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
    STR := TStringList.Create;
    STR.Add('ipconfig /all > diag.log');
    STR.Add('ping vk.com >> diag.log');
    STR.Add('tracert vk.com >> diag.log');
    STR.Add('nslookup vk.com 8.8.8.8>> diag.log');
    STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
    CMDFile:= GetAVZDirectory + 'diag.cmd';
    ExecuteFile(CMDFile, '', 0, 200000, true);
    ExecuteFile('cmd.exe', '/u /c type diag.log > diag1.log', 0, 10000, true);
    DeleteFile(GetAVZDirectory + 'diag.log');
    DeleteFile(GetAVZDirectory + 'diag.cmd');
    end.
    После его работы в папке с AVZ появится файл diag1.log, прикрепите его к своему следующему сообщению.
     
  7. may may
    Оффлайн

    may may Новый пользователь

    Сообщения:
    21
    Симпатии:
    0
    Здравствуйте! Вот логи HJT и AVZ:
     

    Вложения:

    • HiJackThis.log
      Размер файла:
      13,3 КБ
      Просмотров:
      4
    • diag1.log
      Размер файла:
      9,1 КБ
      Просмотров:
      3
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    на ютубе видео подменяется? Если да, то выполните ещё такой скрипт

    Выполните скрипт в AVZ:
    Код (Text):
    var
    STR : TStringList;
    CMDFile: string;
    begin
    ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
    STR := TStringList.Create;
    STR.Add('ipconfig /all > diag.log');
    STR.Add('ping www.youtube.com >> diag.log');
    STR.Add('tracert www.youtube.com >> diag.log');
    STR.Add('nslookup www.youtube.com 8.8.8.8>> diag.log');
    STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
    CMDFile:= GetAVZDirectory + 'diag.cmd';
    ExecuteFile(CMDFile, '', 0, 200000, true);
    ExecuteFile('cmd.exe', '/u /c type diag.log > diag1.log', 0, 10000, true);
    DeleteFile(GetAVZDirectory + 'diag.log');
    DeleteFile(GetAVZDirectory + 'diag.cmd');
    end.
    После его работы в папке с AVZ появится файл diag1.log, прикрепите его к своему следующему сообщению.

    Если нет, то приведите пример сайта, где происходит подмена видео.
    --- Объединённое сообщение, 18 ноя 2015 ---
    + после этого попробуйте прописать в сетевых настройках гугло DNS
    8.8.8.8 и 8.8.4.4 резервный, очистить кеш DNS и проверить проблему.
     
  9. may may
    Оффлайн

    may may Новый пользователь

    Сообщения:
    21
    Симпатии:
    0
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    проверьте и отпишитесь.

    Лог Advcleaner-а всё-таки покажите.

    + Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
  11. may may
    Оффлайн

    may may Новый пользователь

    Сообщения:
    21
    Симпатии:
    0
    Лог Advcleaner (затупил) прилагаю, MBAM тоже правда не удалось отказаться от обновления - если неправильно переделаю, спасибо.
     

    Вложения:

  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Найденное в MBAM можно удалить.

    По AdwCleaner я правильно вас понял, что вы всё найденное удаляли, а при последующем запуске оно снова было?
    --- Объединённое сообщение, 18 ноя 2015 ---
    И в безопасном режиме с поддержкой сети проблема воспроизводится (перед тестом почистить кеш и кукисы)?
    не ответили про результат.
     
  13. may may
    Оффлайн

    may may Новый пользователь

    Сообщения:
    21
    Симпатии:
    0
    Как правило появлялось вновь вот это:
    [C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Найдено : elicpjhcidhpjomhibiffojpinpmmpil
    [C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Найдено : jlipcaflaocihnmlhnhcfombgmmfglho
    сразу же после перезагрузки по требованию AdwCleaner - остальное по разному. После нескольких прогонах исчезало и это но подменятор был Настройки DNS я не знаю как изменить у меня VPN соединение. И эта гадость в т.ч и в мозиле и опере.
    --- Объединённое сообщение, 18 ноя 2015 ---
    Настройки DNS поменял, сейчас все нормально не знаю в следствии этого иди нет. Попробую вернуть ДНС обратно и посмотрю.
    --- Объединённое сообщение, 18 ноя 2015 ---
    Настройки DNS вернул на по умолчанию - автоматические. Все работает так же т.е. сейчас ничего нет. Вряд ли наладилось от того что удалил в МБАМ. Я им много раз чистил - не помогало. Отпишусь как появится. Advcleaner отчет прилагаю снова ничего не удалял.
     

    Вложения:

  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
     
  15. may may
    Оффлайн

    may may Новый пользователь

    Сообщения:
    21
    Симпатии:
    0
    Отчет о удалении и сканировании, сразу после - ничего нет. Пока подменятора тоже нет. Но так тоже уже было я было обрадовался, что решил, но через сутки все вылезло снова.
     

    Вложения:

  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    ок, подождём :).
    А проблема всегда возвращается именно через сутки?
     
  17. may may
    Оффлайн

    may may Новый пользователь

    Сообщения:
    21
    Симпатии:
    0
    Нет по разному, иногда чуть больше но никогда не больше 2х дней. Иногда 2-3 часа.
     
  18. may may
    Оффлайн

    may may Новый пользователь

    Сообщения:
    21
    Симпатии:
    0
    Здравствуйте!
    Вчера специально дождался перемены суток, перезагрузился - ничего не было т.е. больше 7 часов нормальной работы. Сегодня с утра все на месте МБАМ ничего не находит но скан приложу, Advcleaner снова нашел - скан прилагаю ничего не удалил.
     

    Вложения:

  19. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    скорее всего имеет значение не перемена суток, а период например 24 часа от какого-то часа. При этом отсчёт может быть любого часа и не обязательно от 12 ночи.
    MBAM деинсталируйте, а вот почему эти плагины в браузере возрождаются надо бы разобраться.

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  20. may may
    Оффлайн

    may may Новый пользователь

    Сообщения:
    21
    Симпатии:
    0
    Здравствуйте! Сорри за промедление. Сканы прилагаю, спасибо.
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей