1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Вирус_Sponsorship

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Елена, 1 авг 2013.

Статус темы:
Закрыта.
  1. Елена

    Елена Активный пользователь

    Сообщения:
    34
    Симпатии:
    1
    Здравствуйте, уважаемые!
    Помогите мне, пож-ста.
    Подозреваю, что поймала вирус.
    Само по себе в браузере открывается окно с вкладкой Sponsorship.
    Период - около 2-3 недель.
    Сначала открывался раз в 2-3 дня, теперь - почти каждый день.
    В окне браузера сверкающее сообщение, типа:
    "Участие в грин-кард программе"
    ИЛИ
    "Вы выиграли то-то"
    Адрес сайта: m.bingoodthingshappen.com

    Анитивирусник ничего не находит (microsoft security essentials).

    ОЧЕНЬ буду благодарна за помощь!
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      20,9 КБ
      Просмотров:
      4
    • virusinfo_syscheck.zip
      Размер файла:
      18,8 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      51 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      42,2 КБ
      Просмотров:
      3
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Ботан

    Ботан Злостный спам-бот

    Сообщения:
    974
    Симпатии:
    194
    Приветствую Елена, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  4. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.611
    Симпатии:
    1.264
    1 человеку нравится это.
  5. Елена

    Елена Активный пользователь

    Сообщения:
    34
    Симпатии:
    1
    Sandor, доброй ночи!
    Нет, не моя.
    Я видела ее, но не рискнула повторять действия, описанные там.
    А Вы рекомендуете повторить?
     
  6. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.611
    Симпатии:
    1.264
    Ни в коем случае!
     
    1 человеку нравится это.
  7. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.123
    Симпатии:
    4.838
    Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

    1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
    Код (Text):
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O2 - BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll
    2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\User\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
     DeleteFile('C:\Users\User\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
     DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
     DeleteFile('C:\Windows\Tasks\DealPly','32');
     RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}',);
     DeleteFileMask('C:\Program Files\DealPly', '*.*', true);
     DeleteDirectory('C:\Program Files\DealPly');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

    5. Подготовьте новые логи AVZ и Rsit.

    6. Подготовьте лог MBAM.
     
    1 человеку нравится это.
  8. Елена

    Елена Активный пользователь

    Сообщения:
    34
    Симпатии:
    1
    Скажите, пож-ста, КАК выполнить вот этот пункт:
     
  9. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.123
    Симпатии:
    4.838
    Точно так же как вы сделали их в самом начале.
     
  10. Елена

    Елена Активный пользователь

    Сообщения:
    34
    Симпатии:
    1
    Это - MBAM
     

    Вложения:

  11. Елена

    Елена Активный пользователь

    Сообщения:
    34
    Симпатии:
    1
    Часа через 2 сделаю логи AVZ и Rsit.
     
  12. Елена

    Елена Активный пользователь

    Сообщения:
    34
    Симпатии:
    1
    Вот логи...
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      23,5 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      23,8 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      51 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      42,6 КБ
      Просмотров:
      2
  13. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.611
    Симпатии:
    1.264
    Попробуйте через Установку/Удаление программ деинсталлировать StartNow Toolbar.

    Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:
     
  14. Елена

    Елена Активный пользователь

    Сообщения:
    34
    Симпатии:
    1
    Sandor, деинсталировала StartNow Toolbar.
    Делаю сканирование диска C.
    Скажите, пож-ста, удалить всю эту "красоту" нужно будет после того, как нажму кнопку "Показать отчет"?

    Добавлено через 3 часа 29 минут 17 секунд
    Sandor, я удалила 4 папки и 4 файла.
    Но Вы знаете, там еще было 3 файла...
    Куда сохранился этот последний отчет?
     
  15. Елена

    Елена Активный пользователь

    Сообщения:
    34
    Симпатии:
    1
    Нашла.
    Прошу прощения.
    Прикрепляю...
     

    Вложения:

  16. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.123
    Симпатии:
    4.838
    Удалите только
    Реклама еще присутствует?
     
  17. Елена

    Елена Активный пользователь

    Сообщения:
    34
    Симпатии:
    1
    shestale, я же могу удалить его вручную?
    Нет, Вы знаете, реклама больше не вылетает, НО за эти 2-3 дня, пока Вы помогаете мне "лечить" комп, он у меня не активно используется (т.е. я редко его включаю).

    Добавлено через 6 минут 41 секунду
    shestale, а можно Вас еще спросить?
    1. Что это был за вирус такой?
    2. Откуда он взялся?
    3. Что он мне "заразил"?
    4. Меня интересует еще и то, мог ли он просканировать мои пароли и доступы к чему-либо (на форумы, к панелям управления хостингом, сбер онлайн, почту)?
    5. На этом лечение закончено?
    6. Программы, которые я скачивала, я теперь могу удалить с компа?
    7. И посоветуйте, пож-ста, антивирусник :)

    Добавлено через 3 минуты 11 секунд
    Сетевой экран включать?

    Добавлено через 14 минут 31 секунду
    shestale, кстати, забыла еще сказать, два раза антивирусник, который я скачала и который пока еще 12 дней работает, предотвращал попытку доступа к вредоносному сайту. Вот сейчас - снова. Потому и вспомнила.
     
  18. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.611
    Симпатии:
    1.264
    Да.

    Т.н. потенциально нежелательное ПО. Кража паролей не замечена, но если Вы волнуетесь за свои данные, смена паролей не повредит.

    MBAM излишне подозрителен, поэтому можете его деинсталлировать.

    Для верности, проверимся еще так:

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.
    Подробнее читайте в этом руководстве.

    По окончании Вам будут даны рекомендации по закрытию уязвимостей системы и по утилитам лечения.


    Антивирусы, межсетевые экраны (firewall)
     
    1 человеку нравится это.
  19. Елена

    Елена Активный пользователь

    Сообщения:
    34
    Симпатии:
    1
    Спасибо за ответы.
    Отсканированный отчет ниже.
     

    Вложения:

  20. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.611
    Симпатии:
    1.264
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
     
  21. Елена

    Елена Активный пользователь

    Сообщения:
    34
    Симпатии:
    1
    Прикрепляю.
    Перезагружаюсь.
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей