Решена Возможное заражение, вылезает реклама при непонятных событиях

Статус
В этой теме нельзя размещать новые ответы.

Girdos

Новый пользователь
Сообщения
24
Реакции
0
Думаю виновник оффисная программа и удаленное управление...

Пару вопросов:
1. Что значит "Shared resources"? Что файлы доступны через сеть?
2. В чем может быть причина отказа dnscache?
 

Вложения

  • CollectionLog-2019.08.26-23.49.zip
    1.4 MB · Просмотры: 1
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteRepair(9);
 ExecuteRepair(13);
RebootWindows(false);
end.

Компьютер перезагрузится.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 
.
 

Вложения

  • CollectionLog-2019.08.27-17.20.zip
    46.7 KB · Просмотры: 2
Опишите как и где появляется реклама, скриншот приветствуется.
 
Голые девки в квадратике в правом нижнем углу. Но так и не понятно отдельно от браузера или нет, так как не я был за комп. в момент происхождения. Пользователь говорит что повторялось и раньше, только значения не придали. Подозрение что что-то с браузером, но и сам факт что сборка левая тоже затрагивает.
Будет момент, попытаюсь выяснить... пока что ждать? Как быть с задержкой сервиса?
 
Последнее редактирование:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
+++

Как быть с задержкой сервиса?
Это о лечении? Как только появляется свободное время помогаем.
 
В лисе выпрыгивает оповещение и спрашивает если ты хочешь принимать оповещения от сайта. Посмотрел, вроде все пусто в разрешённых. Скорее всего не то.
Возможно блокировщик рекламы был отключен, и оно вылезло. Но пользователь говорит легитимный сайт :/

Задержка и нагрузка на процесс с сервисом скорее моя ошибка, переполненный файл хостов.
 

Вложения

  • AdwCleaner[S00].txt
    6.5 KB · Просмотры: 5
Последнее редактирование:
Но пользователь говорит легитимный сайт
Какой именно сайт?

1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
мсн почта, ютуб. Пользователь точно не помнит.
Есть подозрение что это остаток заражения после того как отключился административный доступ пользователю. Есть старые логи adwcleaner, то что там очистилось само по себе устанавливалось.
Еще был момент когда подписанная программа при запуске запрашивала административные права с желтым окошком, после перезапуска показывалась правильная подпись. Подмена, глюк?
 

Вложения

  • Addition.txt
    38.6 KB · Просмотры: 1
  • AdwCleaner[C00].txt
    6.1 KB · Просмотры: 1
  • FRST.txt
    51.9 KB · Просмотры: 1
Нужно смотреть подробности (есть ссылка в окне запроса), нужно понять какой софт запускается.

Tcpip\..\Interfaces\{0288F972-8869-4B7C-B5CD-0F9B1A0F3FF0}: [DhcpNameServer] 213.80.98.2 213.80.101.3 - пользователя?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    HKU\S-1-5-21-699932037-1733529188-3168483412-1003\...\MountPoints2: E - E:\LaunchU3.exe -a
    HKU\S-1-5-21-699932037-1733529188-3168483412-1003\...\MountPoints2: {bd7b6f47-625d-11e2-bbe9-806e6f6e6963} - D:\autorun.exe /d index.htm
    HKU\S-1-5-21-699932037-1733529188-3168483412-1003\...\MountPoints2: {c9a5b106-dcb3-11e5-8b0f-e02a82209675} - F:\LaunchU3.exe -a
    Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
    Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
    FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-06-10] <==== ATTENTION
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-06-10] <==== ATTENTION (Points to *.cfg file)
    CustomCLSID: HKU\S-1-5-21-699932037-1733529188-3168483412-1004_Classes\CLSID\{62634D95-960B-4834-8E71-A70408AD8FD9}\InprocServer32 -> C:\Users\Olga\AppData\Local\Google\Update\1.3.34.7\psuser_64.dll => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Не думаю, но интересно что значит и для чего.
 

Вложения

  • Fixlog.txt
    5.4 KB · Просмотры: 3
Что сейчас с рекламой?
 
Особой активности не вижу.
 
Понаблюдайте. Определились с DhcpNameServer, удаляем/оставляем?
 
Оставляем. Только как ловить если выпрыгнет? Скриншота думаю будет маловат, надо как-то логировать.
 
Последнее редактирование:
Все равно вылазит, отследить не получилось так как она сама себя ликвидирует. Вылазит как оповещение. Вылазит в нижнем правом углу и хочет что-бы на нее нажали. Тематика бывает разная как я понял.
Но, был замечен момент что в момент ее пропадание окно браузера сворачивается и снова открывается.
 
Последнее редактирование:
В конкретном браузере или во всех?
 
Не проверял. Пользователь пользуется только Firefox
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу