Решена Всплывающие окна в браузерах на стареньком ноутбуке Sony Vaio

[Razey]

Здравствуйте!

Есть старенький ноут Sony Vaio и на нем пользователя замотали всплывающие окна в браузерах. Перед сбором логов провел сканирование MBAM'ом, затем удалил нескольких зловредов, но это не помогло. Логи прилагаю.

 

[akok]

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe;
3. Нажмите кнопку "Изменить параметры проверки";
4. Установите все галочки, кроме "Объекты для проверки" - "Загруженные модули";
5. Подтвердите изменение настроек нажатием кнопки "ОК";
6. Нажмите кнопку "Начать проверку";
7. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
8. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
9. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
10. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
11. Самостоятельно без указания консультанта ничего не не удаляйте!!!
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txtВ каких браузерах реклама?

 

[regist]

+ Facebook Plug-In - сами ставили? Если нет деинсталируйте

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true); 
QuarantineFile('C:\Users\Джамиля\AppData\Roaming\Yontoo\YontooDesktop.exe','');
QuarantineFile('C:\Program Files\Wajam\Updater\WajamUpdater.exe','');
QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe','');
QuarantineFile('C:\Program Files\AVerMedia\AVerTV\AVerTV.exe','');
QuarantineFile('mjvhhu.sys','');
QuarantineFileF('C:\Program Files\Wajam\Updater\','*', true,'',0 ,0);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
BC_ImportAll;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Razey]

Человек пользуется Facebook'ом, про плагин уточнить затруднился. Реклама в Mozilla. Может быть и в остальных, но человек ими не пользуется.
Логи прилагаю. Карантин на указанную почту выслал.

 

[regist]

про плагин уточнить затруднился.

значит он не знает, что это скорее всего сам не ставил. Плагин относится к категории нежелательных программ - adware, так что деинсталируйте его.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
• По окончанию сканирования снимите галочки со следующих строк:
  

  C:\Program Files\Yandex
  C:\Users\Джамиля\AppData\Local\Yandex
  C:\Users\Джамиля\AppData\LocalLow\Yandex
  C:\Users\Джамиля\AppData\Roaming\Mozilla\Firefox\Profiles\7ugdutfl.default\Yandex
  C:\Users\Джамиля\AppData\Roaming\registry mechanic
  C:\Users\Джамиля\AppData\Roaming\Yandex

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Если этими программами не пользуетесь, то галочки снимать не надо.

Подробнее читайте в этом руководстве.

+ карантин на почте не могу найти. Ссылку на тему и свой ник указали? Продублируйте ещё раз, а также загрузите на rghost.ru/ и ссылку мне в ЛС.

что с проблемой?+Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[regist]

Жду выполнение рекомендаций указанных в последнем посте.

 

[Razey]

Проблема осталась... Конкретно - реклама при заходе на facebook. Причем по русски...

Из особенностей: Adwcleaner очень долго отрабатывал, нажал "снять задачу" в диспетчере задач и он через несколько секунд закончил. Прочмотрел по логам - проблем нет - он отработал четко... Базу безопасных файлов AVZ пополнил. Карантин повторно послал + вам в ЛС (вроде это ЛС, если не ошибаюсь - путь к файлу (на файлообменник) и ссылку на тему сбросил).

 

[regist]

Facebook Plug-In

удалили?

скачайте отсюда Оперу и проверьте проблему в ней.

 

[Razey]

удалили?

да

Проблема осталась. При заходе на vk.com слева снизу появляется всплывающее рекламное окно. Попросил пользователя (это девушка) поработать с portable opera в течение дня для полного описания проблемы.
Есть еще один вариант: возможно, мы по разному понимаем "появление рекламы" на странице?

 

[regist]

Попросил пользователя (это девушка) поработать с portable opera в течение дня для полного описания проблемы.

ждём.

 

[Razey]

Вчера повторно ей написал по поводу скринов (попросил сохранить 10-12 скринов при появлении рекламы на разных сайтах при использовании portable opera) - она ответила, что пока не набрала достаточно - мало сидела за компьютером.

 

[regist]

Не надо скринов, тем более в таких кол-вах. По фотографиям я лечить не умею. Ответ уже понятен проблема есть и в той версии Оперы.

Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере, очистите куки и кэш браузеров.

Проверяйте работу в Интернете.

 

[Razey]

Попробую попросить, конечно, но я за неё все делаю по удаленке... Думаю, сбросить и настроить роутер она сама не сможет. Куки и кэш браузеров почищу... А неужели вы думаете, что дело может быть в настройках роутера? И, если так, то как это возможно, поясните (это чтобы я сам понимал), пожалуйста...

 

[Sandor]

Куки и кэш браузеров почищу

Без сброса настроек роутера это бесполезно.

 

[Razey]

Подумаю, что можно сделать. Ей напишу и поясню... Отпишусь... Т.е., хотите сказать, зараза каким-то образом "прописалась" в настройках роутера? Если да, то где? Считал, что такое невозможно...

 

[Sandor]

Пароль на настройки роутера как правило стандартный. Вредонос меняет параметры и удаляется. Вот почему нужно

смените пароль на роутере