Решена Рекламные сылки в тексте [Firefox]

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Maylin, 9 дек 2015.

Статус темы:
Закрыта.
  1. Maylin
    Оффлайн

    Maylin Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Здравствуйте!

    В Firefox в текстах стали появляться ссылки, при наведении на ссылку всплывает окошко с рекламой. К примеру на слова как либо связанные с играми вешается ссылка ведущая на игровой портал da.zzima.com.Также заметил ссылки на онлайн банки и казино.
    Пользуюсь исключительно лисой.
    KIS и avz при проверке проблем не видят.

    Лог приложен.
    Буду признателен за помощь
     

    Вложения:

  2. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
    Здравствуйте.
    Программы Raptr и от IObit - ваше?

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater\Updater.exe', '');
     QuarantineFileF('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater', '*', true, '', 0 , 0);
     QuarantineFile('C:\ProgramData\ZBCGFcNhBIHmMl\lBOkYgPWeHNsQSu0.bat', '');
     QuarantineFileF('C:\ProgramData\ZBCGFcNhBIHmMl', '*', true, '', 0 , 0);
     QuarantineFile('C:\ProgramData\EtDDMGoHA\VRkfiZ5.bat', '');
     QuarantineFileF('C:\ProgramData\EtDDMGoHA', '*', true, '', 0 , 0);
     QuarantineFile('C:\ProgramData\qCtOGNhBUyo\HcgfWCl4.bat', '');
     QuarantineFileF('C:\ProgramData\qCtOGNhBUyo', '*', true, '', 0 , 0);
     DeleteFile('C:\ProgramData\ZBCGFcNhBIHmMl\lBOkYgPWeHNsQSu0.bat');
     DeleteFile('C:\ProgramData\EtDDMGoHA\VRkfiZ5.bat');
     DeleteFile('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater\Updater.exe', '32');
     DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater', '64');
     DeleteFile('C:\ProgramData\ZBCGFcNhBIHmMl\lBOkYgPWeHNsQSu0.bat', '');
     DeleteFile('C:\ProgramData\EtDDMGoHA\VRkfiZ5.bat', '');
     DeleteFile('C:\ProgramData\qCtOGNhBUyo\HcgfWCl4.bat', '');
     DeleteFileMask('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater', '*', true);
     DeleteFileMask('C:\ProgramData\ZBCGFcNhBIHmMl', '*', true);
     DeleteFileMask('C:\ProgramData\EtDDMGoHA', '*', true);
     DeleteFileMask('C:\ProgramData\qCtOGNhBUyo', '*', true);
     DeleteDirectory('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater', '');
     DeleteDirectory('C:\ProgramData\ZBCGFcNhBIHmMl', '');
     DeleteDirectory('C:\ProgramData\EtDDMGoHA', '');
     DeleteDirectory('C:\ProgramData\qCtOGNhBUyo', '');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  3. Maylin
    Оффлайн

    Maylin Новый пользователь

    Сообщения:
    8
    Симпатии:
    0

    Вложения:

  4. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Софт как таковой либо удален либо сильно покоцан.
    Могу почистить.

    Как проблема?
     
  5. Maylin
    Оффлайн

    Maylin Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Удалил все что было. Проблема все еще актуальна (даже на этой самой странице)
    Отчет и скриншоты прикрепил.
    2015-12-14_213657.png 2015-12-14_213815.png 2015-12-14_213947.png
     

    Вложения:

  6. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  7. Maylin
    Оффлайн

    Maylin Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Выполнил требуемые действия.
    Текстовые файлы прикладываю.
     

    Вложения:

    • Addition.txt
      Размер файла:
      30,9 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      54,1 КБ
      Просмотров:
      6
    • Shortcut.txt
      Размер файла:
      74,7 КБ
      Просмотров:
      1
  8. Maylin
    Оффлайн

    Maylin Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    При открытии любой странички антивирус стал блокировать стороннюю ссылку такого вида
    15.12.2015 16.43.54;Загрузка запрещенаудалено2.js;Firefox;Троянская[/URL] программа;12/15/2015 16:43:54
     
    Последнее редактирование модератором: 15 дек 2015
  9. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    Task: {B4699C4A-8658-4A55-8EB5-F4F5064A49FB} - System32\Tasks\Uninstaller_SkipUac_ANDREY => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
    AlternateDataStreams: C:\ProgramData\TEMP:364682BC
    AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
    AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:364682BC
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    akamai вы сами себе установили?

    Проблема только в одном браузере?
     
  10. Maylin
    Оффлайн

    Maylin Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Да,проблемы наблюдаются только в мозиле.Сейчас полистал странички в ie вроде все нормально.В фирефокс пока без изменений (все тот же троянский url ,блокируется kis на каждой страничке)
    Насчет akamai - скорее всего нет.Даже не в курсе что это за программа.
    Лог прикрепил
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,3 КБ
      Просмотров:
      0
  11. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
    Ясно.
    Поочередно отключайте расширения мозиллы,пока проблема не исчезнет.
    Как поймете какое расширение вызывает проблему сообщите здесь.
     
  12. Maylin
    Оффлайн

    Maylin Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Все гениальное просто. Действительно шалило дополнение лисы.Как ни странно я считал его одним из модулей kis. Сам я это дополнение точно не ставил.
    Так или иначе проблема решилась.
    Тему можно закрыть.
    Большое спасибо за помощь и затраченное время.Веселых новогодних праздников.
    2015-12-15_195732.png
     
  13. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    Удалите папку C:\FRST

    Давайте разберемся что за расширение?

    Папку C:\Users\ANDREY\AppData\Roaming\Mozilla\Firefox\Profiles\4izdazd0.default\extensions\helper@helper
    упакуйте в архив с паролем virus и выложите на файлообменник rghost.ru ,ссылку на скачивание сюда.


    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
  14. Maylin
    Оффлайн

    Maylin Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Деинсталлировал программу и удалил папку.
    Расширение скинуть не могу так как отключил и удалил его ранее через браузер.В папке extensions ничего похожего на helper@helper не наблюдаю
    SecurityCheck прикрепил.
     

    Вложения:

  15. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
Статус темы:
Закрыта.

Поделиться этой страницей