• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Возможное заражение, вылезает реклама при непонятных событиях

Статус
В этой теме нельзя размещать новые ответы.

Girdos

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
Думаю виновник оффисная программа и удаленное управление...

Пару вопросов:
1. Что значит "Shared resources"? Что файлы доступны через сеть?
2. В чем может быть причина отказа dnscache?
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,575
Реакции
1,856
Баллы
563
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteRepair(9);
 ExecuteRepair(13);
RebootWindows(false);
end.
Компьютер перезагрузится.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

akok

Команда форума
Администратор
Сообщения
17,955
Реакции
13,567
Баллы
2,203
Опишите как и где появляется реклама, скриншот приветствуется.
 

Girdos

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
Голые девки в квадратике в правом нижнем углу. Но так и не понятно отдельно от браузера или нет, так как не я был за комп. в момент происхождения. Пользователь говорит что повторялось и раньше, только значения не придали. Подозрение что что-то с браузером, но и сам факт что сборка левая тоже затрагивает.
Будет момент, попытаюсь выяснить... пока что ждать? Как быть с задержкой сервиса?
 
Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,575
Реакции
1,856
Баллы
563
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,955
Реакции
13,567
Баллы
2,203
+++

Как быть с задержкой сервиса?
Это о лечении? Как только появляется свободное время помогаем.
 

Girdos

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
В лисе выпрыгивает оповещение и спрашивает если ты хочешь принимать оповещения от сайта. Посмотрел, вроде все пусто в разрешённых. Скорее всего не то.
Возможно блокировщик рекламы был отключен, и оно вылезло. Но пользователь говорит легитимный сайт :/

Задержка и нагрузка на процесс с сервисом скорее моя ошибка, переполненный файл хостов.
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,575
Реакции
1,856
Баллы
563
Но пользователь говорит легитимный сайт
Какой именно сайт?

1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Girdos

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
мсн почта, ютуб. Пользователь точно не помнит.
Есть подозрение что это остаток заражения после того как отключился административный доступ пользователю. Есть старые логи adwcleaner, то что там очистилось само по себе устанавливалось.
Еще был момент когда подписанная программа при запуске запрашивала административные права с желтым окошком, после перезапуска показывалась правильная подпись. Подмена, глюк?
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,955
Реакции
13,567
Баллы
2,203
Нужно смотреть подробности (есть ссылка в окне запроса), нужно понять какой софт запускается.

Tcpip\..\Interfaces\{0288F972-8869-4B7C-B5CD-0F9B1A0F3FF0}: [DhcpNameServer] 213.80.98.2 213.80.101.3 - пользователя?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    HKU\S-1-5-21-699932037-1733529188-3168483412-1003\...\MountPoints2: E - E:\LaunchU3.exe -a
    HKU\S-1-5-21-699932037-1733529188-3168483412-1003\...\MountPoints2: {bd7b6f47-625d-11e2-bbe9-806e6f6e6963} - D:\autorun.exe /d index.htm
    HKU\S-1-5-21-699932037-1733529188-3168483412-1003\...\MountPoints2: {c9a5b106-dcb3-11e5-8b0f-e02a82209675} - F:\LaunchU3.exe -a
    Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
    Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
    FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-06-10] <==== ATTENTION
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-06-10] <==== ATTENTION (Points to *.cfg file)
    CustomCLSID: HKU\S-1-5-21-699932037-1733529188-3168483412-1004_Classes\CLSID\{62634D95-960B-4834-8E71-A70408AD8FD9}\InprocServer32 -> C:\Users\Olga\AppData\Local\Google\Update\1.3.34.7\psuser_64.dll => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Girdos

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
Не думаю, но интересно что значит и для чего.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,575
Реакции
1,856
Баллы
563
Что сейчас с рекламой?
 

Girdos

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
Особой активности не вижу.
 

akok

Команда форума
Администратор
Сообщения
17,955
Реакции
13,567
Баллы
2,203
Понаблюдайте. Определились с DhcpNameServer, удаляем/оставляем?
 

Girdos

Новый пользователь
Сообщения
20
Реакции
0
Баллы
1
Оставляем. Только как ловить если выпрыгнет? Скриншота думаю будет маловат, надо как-то логировать.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу