• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Рекламные банеры в браузерах

Статус
В этой теме нельзя размещать новые ответы.

Sergey Danilchenko

Активный пользователь
Сообщения
7
Реакции
0
Баллы
301
Во всех броузерах открываются банеры слева, либо заменяют рекламные блоки на сайтх, выскакивают банеры имитирующие загрузку обновлений для Java и обновлений броузеров. Блоки с надписями о заражении компьютера вирусами и.т.д.
 

Вложения

  • virusinfo_syscheck.zip
    30.2 KB · Просмотры: 1
  • virusinfo_syscure.zip
    33.4 KB · Просмотры: 3
  • info.txt
    34.7 KB · Просмотры: 1
  • log.txt
    47.1 KB · Просмотры: 2

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую Sergey Danilchenko, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,963
Реакции
2,136
Баллы
643
Здравствуйте!

Пофиксите в HijackThis следующие строчки:
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file
O3 - Toolbar: (no name) - !{09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAE4B42B-7FAB-4BE2-8056-02D23F1B95C9}: NameServer = 80.82.209.180)

Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов вашего провайдера или публичные
8.8.8.8 - основной
8.8.4.4 - альтернативный

Очистите кэш DNS. В командной строке, запущенной от администратора выполните:

По логу видно, что у вас побывал шифровщик файлов. Если не актуально, то пофиксите и эти строки:
O4 - S-1-5-21-842925246-1770027372-1606980848-1014 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'UpdatusUser')
O4 - S-1-5-21-842925246-1770027372-1606980848-1014 User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'UpdatusUser')
O4 - .DEFAULT User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
Если ваши документы еще зашифрованы злоумышленником, пока не удаляйте!

Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Documents and Settings\Sharkoff\mfblweq.exe','');
 QuarantineFile('C:\Documents and Settings\Sharkoff\pgq.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\yex.exe','');
 DeleteFile('C:\Documents and Settings\Sharkoff\mfblweq.exe');
 DeleteFile('C:\Documents and Settings\Sharkoff\pgq.exe');
 DeleteFile(' C:\Documents and Settings\Администратор\Local Settings\Application Data\yex.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи AVZ (стандартный скрипт 2) и RSIT.

У вас установлен Malwarebytes' Anti-Malware, обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
 
Последнее редактирование:

Sergey Danilchenko

Активный пользователь
Сообщения
7
Реакции
0
Баллы
301
Я не понял, извините, прикрепил их к письму тоже. :)
 

Вложения

  • info.txt
    34 KB · Просмотры: 1
  • log.txt
    46.6 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    26.9 KB · Просмотры: 2

akok

Команда форума
Администратор
Сообщения
19,518
Реакции
13,432
Баллы
2,203
КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt - у вас файлы зашифрованы?

Добавлено через 40 секунд
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 

akok

Команда форума
Администратор
Сообщения
19,518
Реакции
13,432
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
  DeleteFile('C:\Documents and Settings\UpdatusUser\Главное меню\Программы\Автозагрузка\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt','32');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Добавлено через 13 секунд
Что с проблемой сейчас?
 

Sergey Danilchenko

Активный пользователь
Сообщения
7
Реакции
0
Баллы
301
Логи MBAM
 

Вложения

  • MBAM-log-2013-07-17 (00-10-10).txt
    3.2 KB · Просмотры: 0

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Для профилактики заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после лечения
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,963
Реакции
2,136
Баллы
643
Sergey Danilchenko, сделайте дополнительно:

Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\yex.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\yex.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\3704065805');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);     
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Java(TM) 6 Update 19 v.6.0.190 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u45-windows-i586.exe)^
Java(TM) SE Development Kit 6 Update 19 v.1.6.0.190 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-7u25-windows-i586.exe)^
-------------AppleProduction----------------------
QuickTime Alternative 3.2.2 v.3.2.2 Внимание! Скачать обновления
QuickTime v.7.69.80.9 Внимание! Скачать обновления
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.7.700.224 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.8.800.94
Adobe Reader 9.3 - Russian v.9.3.0 Внимание! Скачать обновления
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу