• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Рекламные сылки в тексте [Firefox]

Статус
В этой теме нельзя размещать новые ответы.

Maylin

Активный пользователь
Сообщения
8
Реакции
0
Баллы
181
Здравствуйте!

В Firefox в текстах стали появляться ссылки, при наведении на ссылку всплывает окошко с рекламой. К примеру на слова как либо связанные с играми вешается ссылка ведущая на игровой портал da.zzima.com.Также заметил ссылки на онлайн банки и казино.
Пользуюсь исключительно лисой.
KIS и avz при проверке проблем не видят.

Лог приложен.
Буду признателен за помощь
 

Вложения

  • CollectionLog-2015.12.09-06.03.zip
    67.5 KB · Просмотры: 4
  • ClearLNK-09.12.2015_06-20.log
    2.8 KB · Просмотры: 1

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Здравствуйте.
Программы Raptr и от IObit - ваше?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater\Updater.exe', '');
 QuarantineFileF('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater', '*', true, '', 0 , 0);
 QuarantineFile('C:\ProgramData\ZBCGFcNhBIHmMl\lBOkYgPWeHNsQSu0.bat', '');
 QuarantineFileF('C:\ProgramData\ZBCGFcNhBIHmMl', '*', true, '', 0 , 0);
 QuarantineFile('C:\ProgramData\EtDDMGoHA\VRkfiZ5.bat', '');
 QuarantineFileF('C:\ProgramData\EtDDMGoHA', '*', true, '', 0 , 0);
 QuarantineFile('C:\ProgramData\qCtOGNhBUyo\HcgfWCl4.bat', '');
 QuarantineFileF('C:\ProgramData\qCtOGNhBUyo', '*', true, '', 0 , 0);
 DeleteFile('C:\ProgramData\ZBCGFcNhBIHmMl\lBOkYgPWeHNsQSu0.bat');
 DeleteFile('C:\ProgramData\EtDDMGoHA\VRkfiZ5.bat');
 DeleteFile('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater\Updater.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater', '64');
 DeleteFile('C:\ProgramData\ZBCGFcNhBIHmMl\lBOkYgPWeHNsQSu0.bat', '');
 DeleteFile('C:\ProgramData\EtDDMGoHA\VRkfiZ5.bat', '');
 DeleteFile('C:\ProgramData\qCtOGNhBUyo\HcgfWCl4.bat', '');
 DeleteFileMask('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater', '*', true);
 DeleteFileMask('C:\ProgramData\ZBCGFcNhBIHmMl', '*', true);
 DeleteFileMask('C:\ProgramData\EtDDMGoHA', '*', true);
 DeleteFileMask('C:\ProgramData\qCtOGNhBUyo', '*', true);
 DeleteDirectory('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater', '');
 DeleteDirectory('C:\ProgramData\ZBCGFcNhBIHmMl', '');
 DeleteDirectory('C:\ProgramData\EtDDMGoHA', '');
 DeleteDirectory('C:\ProgramData\qCtOGNhBUyo', '');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Maylin

Активный пользователь
Сообщения
8
Реакции
0
Баллы
181

Вложения

  • AdwCleaner[S1].txt
    1.6 KB · Просмотры: 1

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Насчет IObit не уверен.
Софт как таковой либо удален либо сильно покоцан.
Могу почистить.

Как проблема?
 

Maylin

Активный пользователь
Сообщения
8
Реакции
0
Баллы
181
Удалил все что было. Проблема все еще актуальна (даже на этой самой странице)
Отчет и скриншоты прикрепил.
2015-12-14_213657.png
2015-12-14_213815.png
2015-12-14_213947.png
 

Вложения

  • AdwCleaner[C3].txt
    1.7 KB · Просмотры: 2

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Maylin

Активный пользователь
Сообщения
8
Реакции
0
Баллы
181
Выполнил требуемые действия.
Текстовые файлы прикладываю.
 

Вложения

  • Addition.txt
    30.9 KB · Просмотры: 2
  • FRST.txt
    54.1 KB · Просмотры: 7
  • Shortcut.txt
    74.7 KB · Просмотры: 1

Maylin

Активный пользователь
Сообщения
8
Реакции
0
Баллы
181
При открытии любой странички антивирус стал блокировать стороннюю ссылку такого вида
15.12.2015 16.43.54;Загрузка запрещенаудалено2.js;Firefox;Троянская[/URL] программа;12/15/2015 16:43:54
 
Последнее редактирование модератором:

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Task: {B4699C4A-8658-4A55-8EB5-F4F5064A49FB} - System32\Tasks\Uninstaller_SkipUac_ANDREY => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
AlternateDataStreams: C:\ProgramData\TEMP:364682BC
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\Users\Все пользователи\TEMP:364682BC
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


akamai вы сами себе установили?

. Проблема все еще актуальна (даже на этой самой странице)
Проблема только в одном браузере?
 

Maylin

Активный пользователь
Сообщения
8
Реакции
0
Баллы
181
Да,проблемы наблюдаются только в мозиле.Сейчас полистал странички в ie вроде все нормально.В фирефокс пока без изменений (все тот же троянский url ,блокируется kis на каждой страничке)
Насчет akamai - скорее всего нет.Даже не в курсе что это за программа.
Лог прикрепил
 

Вложения

  • Fixlog.txt
    2.3 KB · Просмотры: 0

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093

Maylin

Активный пользователь
Сообщения
8
Реакции
0
Баллы
181
Все гениальное просто. Действительно шалило дополнение лисы.Как ни странно я считал его одним из модулей kis. Сам я это дополнение точно не ставил.
Так или иначе проблема решилась.
Тему можно закрыть.
Большое спасибо за помощь и затраченное время.Веселых новогодних праздников.
2015-12-15_195732.png
 

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Удалите папку C:\FRST

Давайте разберемся что за расширение?

Папку C:\Users\ANDREY\AppData\Roaming\Mozilla\Firefox\Profiles\4izdazd0.default\extensions\helper@helper
упакуйте в архив с паролем virus и выложите на файлообменник rghost.ru ,ссылку на скачивание сюда.


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

Maylin

Активный пользователь
Сообщения
8
Реакции
0
Баллы
181
Деинсталлировал программу и удалил папку.
Расширение скинуть не могу так как отключил и удалил его ранее через браузер.В папке extensions ничего похожего на helper@helper не наблюдаю
SecurityCheck прикрепил.
 

Вложения

  • SecurityCheck.txt
    6.2 KB · Просмотры: 2

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу