• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Открываются банеры в браузере

Статус
В этой теме нельзя размещать новые ответы.

danja32

Активный пользователь
Сообщения
18
Реакции
0
Баллы
301
Здравствуйте!При переходе на какие либо сайты открывается баннер с рекламой в отдельном окне
 

Вложения

  • virusinfo_syscure.zip
    19.7 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    19.4 KB · Просмотры: 1
  • log.txt
    30.5 KB · Просмотры: 2
  • info.txt
    14.3 KB · Просмотры: 2

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую danja32, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('D:\DOCUME~1\9335~1\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE','');
 DeleteFile('D:\DOCUME~1\9335~1\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE');
 DeleteFile('D:\WINDOWS\Tasks\At2.job');
 AddLineToTxtFile('%Systemroot%\system32\drivers\etc\hosts','127.0.0.1 localhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Подготовьте новые логи AVZ и Rsit.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

7. Откройте блокнотом и покажите содержимое файла
8. К интернету подключены напрямую или через шлюз?

9. В командной строке, запущенной от администратора выполните:
route print > C:\route_print.txt
файл C:\route_print.txt выложите
 
Последнее редактирование:

danja32

Активный пользователь
Сообщения
18
Реакции
0
Баллы
301
7. Откройте блокнотом и покажите содержимое файла
Цитата D:\WINDOWS\tasks\At3.job
8. К интернету подключены напрямую или через шлюз?
Файл в блокноте не откывается.
подключаюсь к интернету через usb модем
Все остальное сделал как вы писали.
 

Вложения

  • log.txt
    29 KB · Просмотры: 2
  • info.txt
    13.9 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    18.2 KB · Просмотры: 0
  • virusinfo_syscure.zip
    19.6 KB · Просмотры: 1
  • MBAM-log-2013-07-06 (04-35-06).txt
    5.7 KB · Просмотры: 1
  • route_print.txt
    1 KB · Просмотры: 3

danja32

Активный пользователь
Сообщения
18
Реакции
0
Баллы
301
Должен открыться, там будет всякая "абра-кадабра", вот ее и покажите или сам файл сюда выложите.

я его даже добавить не могу у меня на против этого файла установлено какое то задание,но на даный момент оно невыполняеться.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
я его даже добавить не могу
Извините, я не пойму, куда вы его пытаетесь добавить?
Или откройте блокнотом и покажите текст или запакуйте в архив, если не помещается и прикрепите к своему сообщению.
 

danja32

Активный пользователь
Сообщения
18
Реакции
0
Баллы
301
кажется получилось.
 

Вложения

  • Текстовый документ.txt
    414 байт · Просмотры: 7

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
1.
кажется получилось.
Удалите этот файл.

2. Удалите в МВАМ эти строки:
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKLM\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
D:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
3. Проверьте на Virus Total эти файлы, для этого пройдите по ссылке, нажмите в окно для ввода файла, загрузите файл и нажмите Проверить!, ссылку на результат запостите здесь.
D:\Program Files\Company\NewProduct\Uninstall.ini
D:\Program Files\Company\NewProduct\all2.vbs
D:\Program Files\Company\NewProduct\hhhh.txt
D:\Program Files\Company\NewProduct\Uninstall.exe
 

danja32

Активный пользователь
Сообщения
18
Реакции
0
Баллы
301
ссылку на результат запостите здесь.
ссылка должна быть одна или на каждый файл отдельно?
а то когда указываю путь и жму проверить "пишет что файл уже был проверен.

Добавлено через 7 минут 35 секунд
https://www.virustotal.com/ru/file/...70a02dc348a13a11fd677930/analysis/1373110851/

https://www.virustotal.com/ru/file/...f16d8076b23c191a3f81fa05/analysis/1373110992/

https://www.virustotal.com/ru/file/...d460d18797e3c35e81c53d69/analysis/1373111111/

https://www.virustotal.com/ru/file/...5c76f67aea4df399a421f74f/analysis/1373111186/
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
ссылка должна быть одна или на каждый файл отдельно?
отдельно каждый файл, вы все правильно сделали.

1. Удалите все эти файлы вместе с папкой
D:\Program Files\Company\NewProduct
2. Почистите кэш и куки в браузерах.

Проблема решена?
 

danja32

Активный пользователь
Сообщения
18
Реакции
0
Баллы
301
Здравствуйте!так же появляются но уже реже,бывает когда переходишь назад на предыдущую страницу,а бывает когда в поисковике Google в поисковой строке щелкнешь мышкой и появляется банер с рекламой в отдельном окне.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
К интернету подключены на прямую или через роутер?
В командной строке, запущенной от администратора выполните:
ipconfig /all > C:\ipconfig.txt
файл C:\ipconfig.txt выложите.
 

danja32

Активный пользователь
Сообщения
18
Реакции
0
Баллы
301
подключаюсь через модем без роутера
 

Вложения

  • ipconfig.txt
    1 KB · Просмотры: 5

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Что за модем, на нем есть аппаратный сброс(reset)?
Если есть сбросьте и введите заново провайдерские настройки.
 

danja32

Активный пользователь
Сообщения
18
Реакции
0
Баллы
301
Что за модем, на нем есть аппаратный сброс(reset)?
Если есть сбросьте и введите заново провайдерские настройки.
сброса на нем нет,это обыкновеный 3G usb модем,могу только что перепрошить его.
 

danja32

Активный пользователь
Сообщения
18
Реакции
0
Баллы
301
Готово!
 

Вложения

  • OTL.Txt
    235 KB · Просмотры: 3
  • Extras.Txt
    40 KB · Просмотры: 1

danja32

Активный пользователь
Сообщения
18
Реакции
0
Баллы
301
Не знаю таких,у меня белайн только и все других нет.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу