• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена подменятор видео

Статус
В этой теме нельзя размещать новые ответы.

may may

Активный пользователь
Сообщения
21
Реакции
0
Баллы
81
Здравствуйте!
Обычно ночью но иногда и днем подменяется видео - воспроизводится видео по теме страницы но с левых сайтов это - azzy.ru или bazr.ru(посещяемость у обоих по миллиону - что не реально без malware) Оба используются как реклама услуг advideo.ru После отката Acronis до базовой копии с обновлением Хрома и Виндовс - работает нормально. При малейших изменениях вылазит снова. Последний раз вылезло после установки Магадан и Датакол. Первое время после чистки Advcleaner - исчезает но после нескольких чисток перестает что то находить и подменятор остается. Вчера вечером подменялось видео сегодня с утра нет, но логи отправляю. Помогите пожалуйста. Ничем не смог удалить сам.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
скачайте отсюда Оперу и проверьте проблему в ней.

Лог сканирования Advcleaner прикрепите.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

may may

Активный пользователь
Сообщения
21
Реакции
0
Баллы
81
Здравствуйте!
Оперу скачал - проблема в ней есть, настойчиво просит обновиться - Нужно ли?
Скрипт №8 выполнил лог загрузил.
Спасибо.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
Лог сканирования Advcleaner прикрепите.
не сделали, хотя и так ясно в чём проблема.

Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере, очистите куки и кэш браузеров.

Проверяйте работу в Интернете.
 

may may

Активный пользователь
Сообщения
21
Реакции
0
Баллы
81
Здравствуйте!
У меня нет роутера. Файл сожалею загрузи в форме. Сорри. Куки и кэш попробую но я неоднократно переустанавлиавал хром в т ч и порт версию. Ссылка на лог если это она: virusinfo_auto_USERHOM-U73F82G.zip — RGhost — файлообменник
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
Файл сожалею загрузи в форме.
видать неправильно поняли. Этот файл virusinfo_auto_USERHOM-U73F82G.zip - надо было загрузить через форму.
Лог Advcleaner-а - прикрепить сюда вложением.
Куки и кэш попробую
пока не будут исправлены троянские DNS (подозреваю, что проблему у вас в них), то будет как раз указанный кратковременный эффект.


Сделайте лог этой утилитой HiJackThis 2.0.6 Alfa 1.4.zip — RGhost — файлообменник

+ Выполните скрипт в AVZ:
Код:
var
STR : TStringList;
CMDFile: string;
begin
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
STR := TStringList.Create;
STR.Add('ipconfig /all > diag.log');
STR.Add('ping vk.com >> diag.log');
STR.Add('tracert vk.com >> diag.log');
STR.Add('nslookup vk.com 8.8.8.8>> diag.log');
STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
CMDFile:= GetAVZDirectory + 'diag.cmd';
ExecuteFile(CMDFile, '', 0, 200000, true);
ExecuteFile('cmd.exe', '/u /c type diag.log > diag1.log', 0, 10000, true);
DeleteFile(GetAVZDirectory + 'diag.log');
DeleteFile(GetAVZDirectory + 'diag.cmd');
end.
После его работы в папке с AVZ появится файл diag1.log, прикрепите его к своему следующему сообщению.
 

may may

Активный пользователь
Сообщения
21
Реакции
0
Баллы
81
Здравствуйте! Вот логи HJT и AVZ:
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
на ютубе видео подменяется? Если да, то выполните ещё такой скрипт

Выполните скрипт в AVZ:
Код:
var
STR : TStringList;
CMDFile: string;
begin
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
STR := TStringList.Create;
STR.Add('ipconfig /all > diag.log');
STR.Add('ping www.youtube.com >> diag.log');
STR.Add('tracert www.youtube.com >> diag.log');
STR.Add('nslookup www.youtube.com 8.8.8.8>> diag.log');
STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
CMDFile:= GetAVZDirectory + 'diag.cmd';
ExecuteFile(CMDFile, '', 0, 200000, true);
ExecuteFile('cmd.exe', '/u /c type diag.log > diag1.log', 0, 10000, true);
DeleteFile(GetAVZDirectory + 'diag.log');
DeleteFile(GetAVZDirectory + 'diag.cmd');
end.
После его работы в папке с AVZ появится файл diag1.log, прикрепите его к своему следующему сообщению.

Если нет, то приведите пример сайта, где происходит подмена видео.
+ после этого попробуйте прописать в сетевых настройках гугло DNS
8.8.8.8 и 8.8.4.4 резервный, очистить кеш DNS и проверить проблему.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
попробуйте прописать в сетевых настройках гугло DNS
8.8.8.8 и 8.8.4.4 резервный, очистить кеш DNS и проверить проблему.
проверьте и отпишитесь.

Лог Advcleaner-а всё-таки покажите.

+ Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 

may may

Активный пользователь
Сообщения
21
Реакции
0
Баллы
81
Лог Advcleaner (затупил) прилагаю, MBAM тоже правда не удалось отказаться от обновления - если неправильно переделаю, спасибо.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
Найденное в MBAM можно удалить.

По AdwCleaner я правильно вас понял, что вы всё найденное удаляли, а при последующем запуске оно снова было?
И в безопасном режиме с поддержкой сети проблема воспроизводится (перед тестом почистить кеш и кукисы)?
попробуйте прописать в сетевых настройках гугло DNS
8.8.8.8 и 8.8.4.4 резервный, очистить кеш DNS и проверить проблему
не ответили про результат.
 

may may

Активный пользователь
Сообщения
21
Реакции
0
Баллы
81
Как правило появлялось вновь вот это:
[C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Найдено : elicpjhcidhpjomhibiffojpinpmmpil
[C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Найдено : jlipcaflaocihnmlhnhcfombgmmfglho
сразу же после перезагрузки по требованию AdwCleaner - остальное по разному. После нескольких прогонах исчезало и это но подменятор был Настройки DNS я не знаю как изменить у меня VPN соединение. И эта гадость в т.ч и в мозиле и опере.
Настройки DNS поменял, сейчас все нормально не знаю в следствии этого иди нет. Попробую вернуть ДНС обратно и посмотрю.
Настройки DNS вернул на по умолчанию - автоматические. Все работает так же т.е. сейчас ничего нет. Вряд ли наладилось от того что удалил в МБАМ. Я им много раз чистил - не помогало. Отпишусь как появится. Advcleaner отчет прилагаю снова ничего не удалял.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 

may may

Активный пользователь
Сообщения
21
Реакции
0
Баллы
81
Отчет о удалении и сканировании, сразу после - ничего нет. Пока подменятора тоже нет. Но так тоже уже было я было обрадовался, что решил, но через сутки все вылезло снова.
 

Вложения

may may

Активный пользователь
Сообщения
21
Реакции
0
Баллы
81
Нет по разному, иногда чуть больше но никогда не больше 2х дней. Иногда 2-3 часа.
 

may may

Активный пользователь
Сообщения
21
Реакции
0
Баллы
81
Здравствуйте!
Вчера специально дождался перемены суток, перезагрузился - ничего не было т.е. больше 7 часов нормальной работы. Сегодня с утра все на месте МБАМ ничего не находит но скан приложу, Advcleaner снова нашел - скан прилагаю ничего не удалил.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,403
Реакции
5,988
Баллы
998
Вчера специально дождался перемены суток, перезагрузился - ничего не было т.е. больше 7 часов нормальной работы. Сегодня с утра все на месте
скорее всего имеет значение не перемена суток, а период например 24 часа от какого-то часа. При этом отсчёт может быть любого часа и не обязательно от 12 ночи.
MBAM деинсталируйте, а вот почему эти плагины в браузере возрождаются надо бы разобраться.

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу