• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Вирус_Sponsorship

Статус
В этой теме нельзя размещать новые ответы.

Елена

Активный пользователь
Сообщения
34
Симпатии
1
#1
Здравствуйте, уважаемые!
Помогите мне, пож-ста.
Подозреваю, что поймала вирус.
Само по себе в браузере открывается окно с вкладкой Sponsorship.
Период - около 2-3 недель.
Сначала открывался раз в 2-3 дня, теперь - почти каждый день.
В окне браузера сверкающее сообщение, типа:
"Участие в грин-кард программе"
ИЛИ
"Вы выиграли то-то"
Адрес сайта: m.bingoodthingshappen.com

Анитивирусник ничего не находит (microsoft security essentials).

ОЧЕНЬ буду благодарна за помощь!
 

Вложения

Ботан

Злостный спам-бот
Сообщения
970
Симпатии
173
#2
Приветствую Елена, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Елена

Активный пользователь
Сообщения
34
Симпатии
1
#4
Sandor, доброй ночи!
Нет, не моя.
Я видела ее, но не рискнула повторять действия, описанные там.
А Вы рекомендуете повторить?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,402
Симпатии
4,879
#6
Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll
2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
 DeleteFile('C:\Users\User\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
 DeleteFile('C:\Windows\Tasks\DealPly','32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}',);
 DeleteFileMask('C:\Program Files\DealPly', '*.*', true);
 DeleteDirectory('C:\Program Files\DealPly');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Подготовьте новые логи AVZ и Rsit.

6. Подготовьте лог MBAM.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,402
Симпатии
4,879
#8
Точно так же как вы сделали их в самом начале.
 

Елена

Активный пользователь
Сообщения
34
Симпатии
1
#10
Часа через 2 сделаю логи AVZ и Rsit.
 

Sandor

Ассоциация VN/VIP
Сообщения
3,912
Симпатии
1,370
#12
Попробуйте через Установку/Удаление программ деинсталлировать StartNow Toolbar.

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:
Обнаруженные папки: 4
C:\Users\User\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Users\User\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\DealPly\UpdateProc\src.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
 

Елена

Активный пользователь
Сообщения
34
Симпатии
1
#13
Sandor, деинсталировала StartNow Toolbar.
Делаю сканирование диска C.
Скажите, пож-ста, удалить всю эту "красоту" нужно будет после того, как нажму кнопку "Показать отчет"?

Добавлено через 3 часа 29 минут 17 секунд
Sandor, я удалила 4 папки и 4 файла.
Но Вы знаете, там еще было 3 файла...
Куда сохранился этот последний отчет?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,402
Симпатии
4,879
#15
Удалите только
C:\Users\User\Downloads\Лечим комп\backups\backup-20130802-152246-379.dll (PUP.DealPly) -> Действие не было предпринято.
Реклама еще присутствует?
 

Елена

Активный пользователь
Сообщения
34
Симпатии
1
#16
shestale, я же могу удалить его вручную?
Нет, Вы знаете, реклама больше не вылетает, НО за эти 2-3 дня, пока Вы помогаете мне "лечить" комп, он у меня не активно используется (т.е. я редко его включаю).

Добавлено через 6 минут 41 секунду
shestale, а можно Вас еще спросить?
1. Что это был за вирус такой?
2. Откуда он взялся?
3. Что он мне "заразил"?
4. Меня интересует еще и то, мог ли он просканировать мои пароли и доступы к чему-либо (на форумы, к панелям управления хостингом, сбер онлайн, почту)?
5. На этом лечение закончено?
6. Программы, которые я скачивала, я теперь могу удалить с компа?
7. И посоветуйте, пож-ста, антивирусник :)

Добавлено через 3 минуты 11 секунд
Сетевой экран включать?

Добавлено через 14 минут 31 секунду
shestale, кстати, забыла еще сказать, два раза антивирусник, который я скачала и который пока еще 12 дней работает, предотвращал попытку доступа к вредоносному сайту. Вот сейчас - снова. Потому и вспомнила.
 

Sandor

Ассоциация VN/VIP
Сообщения
3,912
Симпатии
1,370
#17
я же могу удалить его вручную?
Да.

Что это был за вирус такой?
Т.н. потенциально нежелательное ПО. Кража паролей не замечена, но если Вы волнуетесь за свои данные, смена паролей не повредит.

предотвращал попытку доступа к вредоносному сайту
MBAM излишне подозрителен, поэтому можете его деинсталлировать.

Для верности, проверимся еще так:

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

По окончании Вам будут даны рекомендации по закрытию уязвимостей системы и по утилитам лечения.


И посоветуйте, пож-ста, антивирусник :)
Антивирусы, межсетевые экраны (firewall)
 

Елена

Активный пользователь
Сообщения
34
Симпатии
1
#18
Спасибо за ответы.
Отсканированный отчет ниже.
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
3,912
Симпатии
1,370
#19
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
 
Статус
В этой теме нельзя размещать новые ответы.