• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Реклама в любом браузере + подмена сайтов антивируса

Статус
В этой теме нельзя размещать новые ответы.

Kerncraft1

Активный пользователь
Сообщения
5
Реакции
0
Баллы
301
Добрый день! Столкнулся с проблемой. В любом браузере, на большинстве сайтов, слева всплывает банер с тизерами адульт содержания.

При попытке открыть в браузере сайта антивируса или например сайта вирусинфо, страница подменяется фишинговой страницей яндекса.

Логи предоставляю.
 

Вложения

  • virusinfo_syscure.zip
    18.1 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    18.6 KB · Просмотры: 0
  • info.txt
    10 KB · Просмотры: 1
  • log.txt
    49.1 KB · Просмотры: 1

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую Kerncraft1, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

Пофиксите в HJT эти строки
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C7F1CC8-D8C6-415C-AE16-568474825F95}: NameServer = 193.111.137.199
Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов вашего провайдера или публичные
8.8.8.8 - основной
8.8.4.4 - альтернативный

2. Почистите браузеры с помощью AVZ
Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы, отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!
 

Kerncraft1

Активный пользователь
Сообщения
5
Реакции
0
Баллы
301
Прикладываю логи MBAM
 

Вложения

  • MBAM-log-2013-03-22 (15-15-13).txt
    3.5 KB · Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Чисто. Проблема решена?
 

Kerncraft1

Активный пользователь
Сообщения
5
Реакции
0
Баллы
301
Пока вроде нет банера. Какие-нибудь уязвимости есть у меня? От куда эта гадость пробралась? Компьютер используется, только в рабочих целях.

Добавлено через 43 секунды
И что делать с файлами, которые MBAM нашел7 Удалять или оставить?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
И что делать с файлами, которые MBAM нашел7 Удалять или оставить?
Оставить.
От куда эта гадость пробралась?
Для профилактики повторных заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.
Рекомендации после удаления вредоносного ПО
 

Kerncraft1

Активный пользователь
Сообщения
5
Реакции
0
Баллы
301
Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 22.03.2013 15:39:13
Program directory: C:\Documents and Settings\Инспектор\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionLocal=3.1
Диск C:\ ФС: NTFS Емкость: (97.7 Гб) Занято: (8.90000000000001 Гб) Свободно: (88.8 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 15.03.2013 13:18:25
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
Сканирование отключено
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.8.0.1483.0
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 20 v.6.0.200 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u39-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.6.602.180 [+]
-------------Browser------------------------------
Opera 12.14 v.12.14.1738
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.14.1738.0
-------------EndLog-------------------------------
 

Kerncraft1

Активный пользователь
Сообщения
5
Реакции
0
Баллы
301
Большое спасибо за помощь!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу