Решена Вирусная реклама во всех браузерах.

[Goluboglaziy]

Слева на любой странице выскакивает банер с рекламой + сообщения контактного вида, желающие увеличить мой заработок или член, кроме того выбрасывает порой на сайты совершенно мне не нужные. Проверка антивирусами ничего не изменила.
Прошу помощи.

 

[Ботан]

Приветствую Goluboglaziy, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.

***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!

__________________________________________________
С уважением, администрация SafeZone.​

 

[akok]

Знакомый IP?

IP 5.104.108.202
Хост: 5.104.108.202
Город: Не определен
Страна: Germany
IP диапазон: 5.104.108.0 - 5.104.108.255
Название провайдера: webtropia dedicated Server by http://www.webtropia.com

Майнингом биткоинтов заняты?

Добавлено через 10 минут 26 секунд
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\$Recycle.Bin\S-1-5-21-2320955643-1619813293-2045863370-1001\$RC3YPXA.zip','');
 QuarantineFile('C:\Users\Good Founder\AppData\Roaming\.minecraft\uPlus.exe','');
 QuarantineFile('C:\Users\GOODFO~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Users\GOODFO~1\AppData\Local\Temp\getbus.sys','');
 QuarantineFile('c:\users\goodfo~1\appdata\local\temp\7\wuauclts.exe','');
 DeleteFile('c:\users\goodfo~1\appdata\local\temp\7\wuauclts.exe','32');
 DeleteFile('C:\Users\GOODFO~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\Funmoods','64');
 DeleteFile('C:\$Recycle.Bin\S-1-5-21-2320955643-1619813293-2045863370-1001\$RC3YPXA.zip','32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Добавлено через 24 секунды
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подготовьте лог AdwCleaner

 

[Goluboglaziy]

Биткоинами не занимаюсь. Айпи не знаком.

 

[akok]

++ тогда
Пофиксить в HijackThis следующие строчки

O17 - HKLM\System\CCS\Services\Tcpip\..\{1BF0A6F6-DA88-4D9E-A556-0101489D515D}: NameServer = 5.104.108.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.104.108.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9983D0F-37F4-4D67-8BB7-4FCABC30D520}: NameServer = 5.104.108.202
O17 - HKLM\System\CS1\Services\Tcpip\..\{1BF0A6F6-DA88-4D9E-A556-0101489D515D}: NameServer = 5.104.108.202
O17 - HKLM\System\CS2\Services\Tcpip\..\{1BF0A6F6-DA88-4D9E-A556-0101489D515D}: NameServer = 5.104.108.202

Добавлено через 2 минуты 3 секунды
Все, что нашел MBAM можно удалить.


Внимание, следующее действие удалит установленные тулбары:

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Сообщите, проблемы еще наблюдаются?

 

[Goluboglaziy]

Все хорошо, они от меня отстали. Большое спасибо.

Добавлено через 30 секунд
Вообще-то нет.

 

[akok]

Подготовьте лог UVS

 

[regist]

+ выполните скрипт в AVZ

begin
 ExecuteWizard('SCU', 2, 2, true);
 RebootWindows(false);
end.

после скрипта ещё раз проверьте, что с проблемой.

 

[Goluboglaziy]

Все хорошо ребята, проблема исчезла. Спасибо большое. Пред. сообщение не так отредактировал, извините.

 

[regist]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.