Решена Всплывающая реклама (ранее лечил сам - не помогло)

Тема в разделе "Лечение компьютерных вирусов", создана пользователем tigger_am, 24 ноя 2013.

Статус темы:
Закрыта.
  1. tigger_am
    Оффлайн

    tigger_am Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Добрый день, около месяца назад при открытии любого сайта в ИЕ, ОПЕРЕ или ХРОМЕ, слева появляется тулбар с рекламой, а может и новая закладка с рекламным сайтом открыться.

    Логи, файла два, ругается на большой их размер, пришлось разделить:
     

    Вложения:

  2. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    Сombofix зачем запускали?

    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Помощь пользователям и выполните Правила запроса о помощи.
    _______________________________________________________

    1. В логе сканирования Hijackthis отметьте:
    нажмите "Fix checked". если пропадет подключение к интернету - в настройках сети - ipv4 - свойства - dns вручную пропишите dns своего провайдера или публичные - 8.8.8.8 alt 8.8.4.4

    2. деинсталлируйте C:\Program Files\DealPlyLive

    отключите одноименные плагины в браузерах, через установку и удаление программ удалите лишние тулбары, которыми не пользуетесь.

    3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
    AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\DOCUME~1\wonder\LOCALS~1\Temp\raq4vj81.exe','');
    DeleteFile('C:\DOCUME~1\wonder\LOCALS~1\Temp\raq4vj81.exe','32');
    DeleteFile('C:\WINDOWS\Tasks\75r8.job','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

    4. Сделайте новые логи AVZ (ст. скрипт 2) и RSIT

    5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
     
    Последнее редактирование: 24 ноя 2013
  3. tigger_am
    Оффлайн

    tigger_am Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Пункты 1,2,3 выполнил

    Результаты 4,5 пункта прикрепил
     

    Вложения:

  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Удалите в MBAM только:
    Код (Text):
    Обнаруженные ключи в реестре:  62
    HKCR\AppID\{80FABB17-63AF-4655-9F07-B6509EE37AF2} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{80FABB17-63AF-4655-9F07-B6509EE37AF2} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.OnDemandCOMClassSvc.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.OnDemandCOMClassSvc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\AppID\{F48FC5B2-094A-44C7-B48C-289738C9582D} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{F48FC5B2-094A-44C7-B48C-289738C9582D} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.Update3COMClassService.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.Update3COMClassService (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{1E0C9B2A-6447-452C-B012-2314A0C29412} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.OnDemandCOMClassMachineFallback.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.OnDemandCOMClassMachineFallback (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{34A8CEB6-89BB-49F1-B5E4-0D0D6C21F3B1} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.CredentialDialogMachine.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.CredentialDialogMachine (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{3A4DBD3A-98CC-41CE-AD21-352D42B6F754} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.CoCreateAsync.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.CoCreateAsync (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{4F8A50F6-69DE-4BE3-A33A-A1079B9AC0DB} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.Update3WebMachineFallback.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.Update3WebMachineFallback (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{501CB57A-D4E2-4855-96AD-EDB0A9083395} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.CoreMachineClass.1 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.CoreMachineClass (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{6FF2C4DD-77A4-4BB5-BA4C-B42DEFBF9137} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.ProcessLauncher.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.ProcessLauncher (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{83ABA270-8390-4CA6-AE48-FC089F55629E} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.OnDemandCOMClassMachine.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.OnDemandCOMClassMachine (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{8B218A5F-1A3D-4347-94EF-A79575EB8094} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{8C338DDB-19FC-4C1F-B74D-6931EE55F7A1} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLive.Update3WebControl.3 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8C338DDB-19FC-4C1F-B74D-6931EE55F7A1} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8C338DDB-19FC-4C1F-B74D-6931EE55F7A1} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{9BDB5E09-4BBA-4422-8C2B-529B281C32B8} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{ae48ed75-5a56-4c5f-bbce-6f1ac3875f66} (PUP.DealPly) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE48ED75-5A56-4C5F-BBCE-6F1AC3875F66} (PUP.DealPly) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE48ED75-5A56-4C5F-BBCE-6F1AC3875F66} (PUP.DealPly) -> Действие не было предпринято.
    HKCR\CLSID\{C536F080-57B7-46D6-8894-C647553F2889} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLive.OneClickProcessLauncherMachine.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLive.OneClickProcessLauncherMachine (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C536F080-57B7-46D6-8894-C647553F2889} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{CA5D945F-E738-4D0B-A0B5-25AC51C64659} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.CoreClass.1 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.CoreClass (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{F7698761-4ABA-45C2-A5BB-D2163922C725} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.Update3WebSvc.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.Update3WebSvc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\CLSID\{FFCC53E6-2655-47FC-A89B-54E8D7F305D1} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.Update3WebMachine.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\DealPlyLiveUpdate.Update3WebMachine (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
    HKCR\DealPlyLive.OneClickCtrl.9 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCR\AppID\DealPlyLive.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\MozillaPlugins\@tools.dpliveupdate.com/DealPlyLive Update;version=3 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\MozillaPlugins\@tools.dpliveupdate.com/DealPlyLive Update;version=9 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Services\dealplylive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Services\dealplylivem (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    Обнаруженные параметры в реестре:  1
    HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0M1S1H1K2U -> Действие не было предпринято.
    Объекты реестра обнаружены:  0
    (Вредоносных программ не обнаружено)
    Обнаруженные папки:  9
    C:\Program Files\2\instll (Trojan.Bananas) -> Действие не было предпринято.
    C:\Program Files\rhv\rhv (Trojan.Agent) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Application Data\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Application Data\DealPlyLive\Update (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Application Data\DealPlyLive\Update\Log (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\wonder\Application Data\Dealply (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\wonder\Application Data\Dealply\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\wonder\Local Settings\Application Data\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\wonder\Local Settings\Application Data\DealPlyLive\CrashReports (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    Обнаруженные файлы:  209
    C:\$RECYCLE.BIN\S-1-5-18\$RKMSRI7.exe (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\rhv\rhv\kust.txt (Trojan.Agent) -> Действие не было предпринято.
    C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineCore.job (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineUA.job (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Application Data\DealPlyLive\Update\Log\DealPlyLive.log (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\wonder\Application Data\Dealply\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\wonder\Application Data\Dealply\UpdateProc\TTL.DAT (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    --- Объединённое сообщение, 24 ноя 2013 ---
    Что с проблемами?
     
  5. tigger_am
    Оффлайн

    tigger_am Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Левый тулбар с рекламой ушел, но теперь когда запущена MBAM, при заходе на некоторые сайты появляются сообщения вида:

    Была предотвращена попытка доступа к вредоносному веб-сайту: 195.68.160.188

    тип: Исходящие

    т.е редирект еще остался получается?
    --- Объединённое сообщение, 24 ноя 2013 ---
    Да в MBAM удалил как просили
     
    Последнее редактирование: 24 ноя 2013
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Вы включили триал версию MBAM и это ее попытка защитить систему. Удаление MBAM.

    Обновите софт:
    Код (Text):
    -------------Java---------------------------------
    Java(TM) 6 Update 29 v.6.0.290 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color]
    [color=blue][b]^Удалите старую версию и установите новую (jre-7u45-windows-i586.exe)^[/b][/color]
    Java Auto Updater v.2.0.6.1
    -------------AdobeProduction----------------------
    Adobe Flash Player 11 Plugin v.11.9.900.152
    Adobe Shockwave Player 11.5 v.11.5.7.609 [color=red][b]Внимание! [url=http://get.adobe.com/shockwave/]Скачать обновления[/url][/b][/color]
    Adobe Flash Player 10 ActiveX v.10.1.53.64 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe]Скачать обновления[/url][/b][/color]
    Adobe Reader 9.5.2 v.9.5.2 [color=red][b]Внимание! [url=http://get.adobe.com/reader/]Скачать обновления[/url][/b][/color]
    -------------Browser------------------------------
    Mozilla Firefox 25.0.1 (x86 ru) v.25.0.1 [b][+][/b]
    Opera 12.14 v.12.14.1738 [color=red][b]Внимание! [url=http://ftp.opera.com/pub/opera/win/1216/int/Opera_1216_int_Setup.exe]Скачать обновления[/url][/b][/color]
    [color=blue][b]^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^[/b][/color]
    Google Chrome v.31.0.1650.57 [b][+][/b]
    http://safezone.cc/threads/rekomendacii-posle-udalenija-vredonosnogo-po.16715/

    Тему можно отмечать решенной?
     
  7. tigger_am
    Оффлайн

    tigger_am Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    думаю что да, спасибо
     
Статус темы:
Закрыта.

Поделиться этой страницей