Решена На странице браузера вирус

Статус
В этой теме нельзя размещать новые ответы.

Lusec

Активный пользователь
Сообщения
98
Реакции
18
Привет всем.

Поймала какой-то мерзкий браузерный вирус. На каждой открываемой странице, после полной загрузки появляется рекламный блок. Любая активность на странице приводит к открытию новой страницы с игрой, интернет-магазином или какой-то другой хренью.
 

Вложения

  • CollectionLog-2015.03.17-16.53.zip
    104.4 KB · Просмотры: 1
  • Chrome.jpg
    Chrome.jpg
    64 KB · Просмотры: 43
  • Chrome1.jpg
    Chrome1.jpg
    68.5 KB · Просмотры: 43

Vvvyg

Ассоциация VN
Сообщения
220
Реакции
83
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe');
TerminateProcessByName('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugincontainer.exe');
TerminateProcessByName('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\3\plugin.exe');
TerminateProcessByName('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\8\plugin.exe');
TerminateProcessByName('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\5\plugin.exe');
QuarantineFile('C:\Program Files\Roll Around\Extensions\83c0e288-8fa0-43d3-acc7-c1e839d85abc.dll', '');
QuarantineFile('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe', '');
QuarantineFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugincontainer.exe', '');
QuarantineFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\3\plugin.exe', '');
QuarantineFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\8\plugin.exe', '');
QuarantineFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\5\plugin.exe', '');
DeleteFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\5\plugin.exe', '32');
DeleteFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\8\plugin.exe', '32');
DeleteFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\3\plugin.exe', '32');
DeleteFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugincontainer.exe', '32');
DeleteFile('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe', '32');
DeleteFile('C:\Program Files\Roll Around\Extensions\83c0e288-8fa0-43d3-acc7-c1e839d85abc.dll', '32');
DeleteFileMask('C:\Program Files\Roll Around', '*', true);
DeleteFileMask('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf', '*', true);
DeleteFileMask('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf', '*', true);
DeleteDirectory('C:\Program Files\Roll Around');
DeleteDirectory('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf');
DeleteDirectory('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf');
DelBHO('{83c0e288-8fa0-43d3-acc7-c1e839d85abc}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:

Lusec

Активный пользователь
Сообщения
98
Реакции
18
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe');
TerminateProcessByName('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugincontainer.exe');
TerminateProcessByName('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\3\plugin.exe');
TerminateProcessByName('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\8\plugin.exe');
TerminateProcessByName('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\5\plugin.exe');
QuarantineFile('C:\Program Files\Roll Around\Extensions\83c0e288-8fa0-43d3-acc7-c1e839d85abc.dll', '');
QuarantineFile('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe', '');
QuarantineFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugincontainer.exe', '');
QuarantineFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\3\plugin.exe', '');
QuarantineFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\8\plugin.exe', '');
QuarantineFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\5\plugin.exe', '');
DeleteFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\5\plugin.exe', '32');
DeleteFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\8\plugin.exe', '32');
DeleteFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugins\3\plugin.exe', '32');
DeleteFile('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf\plugincontainer.exe', '32');
DeleteFile('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe', '32');
DeleteFile('C:\Program Files\Roll Around\Extensions\83c0e288-8fa0-43d3-acc7-c1e839d85abc.dll', '32');
DeleteFileMask('C:\Program Files\Roll Around', '*', true);
DeleteFileMask('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf', '*', true);
DeleteFileMask('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf', '*', true);
DeleteDirectory('C:\Program Files\Roll Around');
DeleteDirectory('c:\programdata\2a617352-d396-46a3-a71b-5d89535356cf');
DeleteDirectory('c:\program files\common files\2a617352-d396-46a3-a71b-5d89535356cf');
DelBHO('{83c0e288-8fa0-43d3-acc7-c1e839d85abc}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Скрипты сделала. Архив отправила формой.

Логи AutoLogger и AdwCleaner прикладываю
 

Вложения

  • CollectionLog-2015.03.17-22.54.zip
    57.7 KB · Просмотры: 3
  • AdwCleaner[R0].txt
    2.1 KB · Просмотры: 4

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374
Lusec,
читайте рекомендации внимательно!
1) Вас просили только просканировать в AdwCleaner а не удалять всё.
2) Логи переименовывать не нужно. Этим вы только путаете.
Прикрепите ещё файлы
AdwCleaner[S0].txt - [2512 байт] - [17/03/2015 21:53:23]
AdwCleaner[S1].txt - [1974 байт] - [17/03/2015 22:24:47]


+
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Lusec

Активный пользователь
Сообщения
98
Реакции
18
Lusec,
Прикрепите ещё файлы

Сорри. Руки на кнопочки нажимают быстрее, чем голова думает :(
AdwCleaner[S0].txt - [2512 байт] - [17/03/2015 21:53:23] прикладываю, а второй AdwCleaner[S1].txt - [1974 байт] - [17/03/2015 22:24:47] Не нашла, наверно удалила вчера (ответить на вопрос "Зачем?" не смогу).
 

Вложения

  • AdwCleaner[S0].txt
    2.5 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Что с проблемой?
не ответили.
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
это тоже сделайте.
 

Lusec

Активный пользователь
Сообщения
98
Реакции
18
Что с проблемой?
Простите за молчание - совершенно не было времени с утра.
Надеюсь, проблема решится.
Lusec,
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

LOG AVZ: http://files.webfile.ru/12a6339a27a08dbc90b0bb60fde25912
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.
Подробнее читайте в этом руководстве.


не ответили.

это тоже сделайте.

Adwcleaner удалила

Базы обновила

Еще раз извините, совершенно не было времени с утра. Думала успею в обеденный перерыв. В результате скрипт сделала, а времени залить его в файлообменник не хватило.
 
Последнее редактирование:

Lusec

Активный пользователь
Сообщения
98
Реакции
18

Добрый день. Спасибо за помощь. Надеюсь, в ближайшем времени никаких зловредов больше не поймаю.

Прошу прощения за навязчивость и, возможно, бестактность, но мне было бы приятно услышать Ваши комментарии по поводу последнего Лога - все в порядке, никаких вирусов больше нет?
Что с проблемой?

Еще раз извините за то, что не ответила мгновенно на ваш вопрос. Надеюсь, выразительное молчание в теме свидетельствует о решении проблемы. Рекламный блок в Хроме больше не появляется, но при открытии Мазиллы выскочило сообщение с запросом о разрешении расширению изменить настройки браузера со ссылкой на С:\Пользователи\Ххх\ApData\Roaming\Mozilla... Расширение удалила в настройках браузера, но удалила ли я его из компьютера?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
Расширение удалила в настройках браузера, но удалила ли я его из компьютера?
при удаление через настройки оно полностью удаляется.
 

Lusec

Активный пользователь
Сообщения
98
Реакции
18
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

при удаление через настройки оно полностью удаляется.

Скрипт выполнила. "Часто используемые уязвимости не обнаружены. Скрипт выполнен без ошибок."

Спасибо за помощь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу