Решена Открываются баннеры.

Статус
В этой теме нельзя размещать новые ответы.

Boomklaack

Новый пользователь
Сообщения
22
Реакции
1
Доброго времени суток, добрые люди.
У меня такая проблема: при открытии браузера на странице открываются три баннера с рекламой (adblock их блокирует, но они всё же присутствуют) , так же видно , что уходят данные при загрузке страницы на сторонние ресурсы и ещё периодически самопроизвольно открывается ещё одно окно с лотереей или уведомляющее , что я якобы выиграл деньги.
Вчера с помощью утильки Dr.Web CureIt проверил полностью диск С. Были найдены adware которые я в последствии удалил.Но проблема осталась.
Сегодня я так же произвёл проверку, проверил в безопасном режиме с помощью Dr.Web CureIt "быстрой проверкой" и проверил C:\Users ни чего не было найдено при этом.
На форуме Dr.Web мне так и не помогли (http://forum.drweb.com/index.php?showtopic=320787 вот моя тема если что). Мозилу переустанавливал два раза, результата не дало, в Хроме и Яндекс браузере баннеры не появляются, но видно, что данные уходят на сторонние сайты по типу этого a.visadd.com и другие.Чистил Ccleaner"ом.
 
Boomklaack,
+ к стандартным логам дополнительно сразу сделайте ещё

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Всё сделал,как написано вот логи.AdwCleaner правда не закрывал, там две строчки GlobalUdate Service с галочками и не понятно, что с ними делать.
 

Вложения

  • CollectionLog-2015.04.05-20.59.zip
    180 KB · Просмотры: 6
  • AdwCleaner[R0].txt
    29.6 KB · Просмотры: 2
Последнее редактирование:
Здравствуйте!

Update for Html5 geolocation provider - рекомендую деинсталировать.

ProxyServer = 77.246.101.130:80 - сами прописывали?
там две строчки GlobalUdate Service с галочками
если полистаете по вкладкам, то увидите что там на самом деле ещё много строчек )))

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Гари Сильвер\AppData\Roaming\Mail.Ru\CODEXi\Steam', '');
QuarantineFileF('C:\Users\Гари Сильвер\AppData\Roaming\Mail.Ru\CODEXi', '*.exe, *.dll, *.sys, *.bat, *.vbs, .js', true, '', 0, 0);
QuarantineFile('???????\AppData\Roaming\1JIZKfasFPBRlKGI5CnwD.exe', '');
DeleteFile('C:\Windows\Tasks\1JIZKfasFPBRlKGI5CnwD.job', '32');
DeleteFile('???????\AppData\Roaming\1JIZKfasFPBRlKGI5CnwD.exe', '32');
DeleteFile('C:\Windows\Tasks\AlterGeoUpdater-S-1-5-18.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-1.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-11.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-2.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-4.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-5.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-5_user.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-6.job', '32');
DeleteFile('C:\Windows\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-7.job', '32');
DeleteFile('C:\Windows\Tasks\quiz_games_notification_service.job', '32');
DeleteFile('C:\Windows\Tasks\quiz_games_updating_service.job', '32');
DeleteFile('C:\Windows\Tasks\VFYWlq6V.job', '32');
DeleteFile('C:\Windows\system32\Tasks\AlterGeoUpdater-S-1-5-18', '32');
DeleteFile('C:\Windows\system32\Tasks\bc7b60cb-4831-4cd5-aa0a-a6f8723c2b24-1', '32');
DeleteFile('C:\Windows\system32\Tasks\{B125D3DC-CE86-4E0A-9B46-4132B529D835}', '32');
DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #0');
BC_ImportAll;
ExecuteSysClean;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 
Update for Html5 geolocation provider удалил перед сканированием примерно за час.
На счёт прокси - ни чего не прописывал.
Спасибо, сейчас выполню.
Подскажите, после того, как в AdwCleaner (мэил.ру агент был у меня,но я его с месяц назад удалил и не пользуюсь более)получается, что удалять всё, я так и сделал и прога закрылась. Теперь мне , чтоб отчёт вам отправить, снова сканировать?
 
Последнее редактирование:
Не должна была закрыться. Закройте все программы, повторите сканирование и снова нажмите Очистить, должна произойти перезагрузка.
 
Эта прога у меня скачалась в загрузки,я её кинул на рабочий стол, сделал всё,потом удалил и она закрылась и исчезла.Даже ехе. файла нету на столе.:Dntknw:
 
Значит перепутали кнопки Очистить и Удалить. Удалить - это деинсталляция. Качайте заново сканируйте и очищайте
 
Извиняюсь, я ботан перепутал кнопочки :Blush2:
Всё сдела, ща ещё повторно проверку запущу, баннеры исчезли,а вот при загрузке страницы всё-таки связь со сторонними сайтами есть.
 

Вложения

  • AdwCleaner[S0].txt
    9.5 KB · Просмотры: 2
1)
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.
Подробнее читайте в этом руководстве.

2) - Очистите кеш и куки браузеров

3) После этого ещё раз проверьте проблему и поясните подробней, что вы называете
при загрузке страницы всё-таки связь со сторонними сайтами есть.
а также уточните это происходит на всех сайтах? В любом браузера или только в лисе?
+ раз прокси сами не прописывали, то

Профиксите в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 77.246.101.130:80
и после этого сделайте
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 
Только, что просканил повторно через Shift в AutoLogger прикрепляю отчёт.
А вот с Хайджеком проблема не знаю, что там выбрать вот скрин его http://clip2net.com/s/3fyRPcT
Только, что открыл сайт и там опять были эти баннеры http://clip2net.com/s/3fyTmwW
То что я называю связью со сторонними сайтами - когда открываю к примеру ваш сайт внизу слева маленькая полосочка и там по правилам мелькает адрес вашего сайта при загрузке страницы, например даже если на аватар ваш навести будет прописываться адрес сайта этого,а у меня при загрузке страницы помимо адреса вашего сайта, там мелькают какие-то левые сайты по типу этого a.vissadd.com там их целая куча это один из тех что я успел запомнить.
Вот смотрите http://clip2net.com/s/3fyUJPa
И да когда чистил кеш и куки в других браузерах, наблюдалась эта связь правда баннеров нету.
 

Вложения

  • CollectionLog-2015.04.05-22.32.zip
    49.2 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".


    B92LqRQ.png


  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Подробнее читайте в этом руководстве.
 
Вот пожалуйста
 

Вложения

  • Addition.txt
    26.2 KB · Просмотры: 2
  • FRST.txt
    63.7 KB · Просмотры: 1
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
HKU\S-1-5-21-1866462090-2718774502-2235001341-1000\...\Run: [AlterGeoUpdater] => C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
HKU\S-1-5-18\...\Run: [AlterGeoUpdater] => C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
HKU\S-1-5-18\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll No File
FF Plugin HKU\S-1-5-21-1866462090-2718774502-2235001341-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll No File
2015-03-31 11:14 - 2015-03-31 11:14 - 00005655 _____ () C:\Users\Гари Сильвер\AppData\Roaming\1JIZKfasFPBRlKGI5CnwD
2015-03-31 11:14 - 2015-03-31 11:14 - 00004387 _____ () C:\Users\Гари Сильвер\AppData\Roaming\VFYWlq6V
2015-03-31 11:14 - 2015-03-31 11:14 - 0005655 _____ () C:\Users\Гари Сильвер\AppData\Roaming\1JIZKfasFPBRlKGI5CnwD
2015-03-31 11:14 - 2015-03-31 11:14 - 0004387 _____ () C:\Users\Гари Сильвер\AppData\Roaming\VFYWlq6V
2013-08-15 09:52 - 2014-01-07 12:46 - 0000130 _____ () C:\Users\Гари Сильвер\AppData\Roaming\WB.CFG
2013-08-31 18:08 - 2013-08-31 18:08 - 0000005 _____ () C:\Users\Гари Сильвер\AppData\Roaming\WBPU-FF.DAT
2013-12-31 17:46 - 2014-01-03 12:46 - 0000005 _____ () C:\Users\Гари Сильвер\AppData\Roaming\WBPU-Q5-TTL.DAT
2013-08-15 09:52 - 2014-01-07 12:46 - 0000005 _____ () C:\Users\Гари Сильвер\AppData\Roaming\WBPU-TTL.DAT
2013-03-23 20:51 - 2015-01-21 14:28 - 0004096 _____ () C:\Users\Гари Сильвер\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2014-09-18 16:45 - 2014-09-18 16:45 - 0585728 _____ () C:\Users\Гари Сильвер\AppData\Local\file__0.localstorage
2013-05-07 22:59 - 2013-08-03 20:34 - 0007597 _____ () C:\Users\Гари Сильвер\AppData\Local\Resmon.ResmonCfg
2014-06-04 13:35 - 2014-06-04 13:36 - 0000000 _____ () C:\Users\Гари Сильвер\AppData\Local\{5EE372CA-FECB-4063-908D-AB992843FEFD}
2014-02-15 00:32 - 2014-02-15 00:32 - 0000413 _____ () C:\ProgramData\fontcacheev1.dat
2013-03-23 12:51 - 2013-03-23 12:51 - 0004104 _____ () C:\ProgramData\ojobkspa.ako
2013-03-23 12:03 - 2013-03-23 12:03 - 0004096 _____ () C:\ProgramData\tbythlfa.ktx
C:\ProgramData\fontcacheev1.dat
C:\Users\Все пользователи\fontcacheev1.dat

EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 
Готово

Вот эти сайты, которые мелькают http://clip2net.com/s/3fz609g
Может мне винду переустановить?
 

Вложения

  • Fixlog.txt
    5.6 KB · Просмотры: 1
Баннеры еще проявляются?
Попробуйте отключить все дополнения и плагины файрфокса и проверить проблему - это раз
Реклама есть на любом сайте даже на нашем и это один из способов оплаты хостинга - это два
Если на нашем сайте вы видите что-то, что ведет на подозрительные или вредоносные сайты, пишите, заблокируем рекламодателя - это три
Для того чтобы не видеть рекламы есть много различных программ и дополнений (AdBlock, uBlock, Admuncher, NoScript, uMatrix и проч) - это 4

Если есть еще баннеры пишите инструментов у нас еще хватает.
 
Да, проявляются,как и раньше даже при выключенных плагинах и дополнениях.На счёт рекламы на сайтах я в курсе, но эта реклама выскакивает везде практически, даже на тех сайтах , которые я часто посещаю и знаю, что там такой рекламы не было.
Спасибо вам за проделанную работу, если не возражаете, то завтра продолжим это не легкое дело :(
 
Да, до завтра, нам тоже спать хочется, поднимите тему, Вам ответят
 
Сделайте аппаратный сброс роутера(Reset) и при необходимости введите настройки заново, согласно договора на подключение с провайдером.
Затем смените пароль на роутере, на более сложный.
+
Почистите кэш и куки в браузерах.

Проверяйте.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу