Рекламный вирус.

Friglight · 30.09.2014, 18:04

HEUR:AdWare.Script.Generic

При работе браузера (Mozilla Firefox) часто Касперский ругается на загрузку вредоносного файла - mo.js. Обьект: http://utils.cdneurope.com/js/mo.js. Как с этим бороться? Читал на паре форумов писали, мол напиши в AVG то, а в uVG то. Что за AVG и uVG я не знаю. Но хочу узнать. Если кто заинтересуется решением этой проблемы прошу описывать все очень и очень подробно. Спасибо.

mot1v · 30.09.2014, 18:10

Цитата:

Сообщение от Friglight

мол напиши в AVG то, а в uVG то. Что за AVG и uVG я не знаю

avz и uVS

safety · 30.09.2014, 19:36

добавьте логи по правилам
http://pchelpforum.ru/showpost.php?p=293738&postcount=2

CaIIIa OpEx · 30.09.2014, 20:58

И мне нужна помощь:
Дня два-три назад загнал вирус с рекламными баннерами в браузере (Chrome).

safety, сделал как писал Гарад
архив: http://rghost.ru/58284857 и скриншот с расширениями http://rghost.ru/58284914.view

Arkalik · 30.09.2014, 21:19

CaIIIa OpEx, ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- отключаем антивирус и закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);

Код:

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
OFFSGNSAVE
delref HTTP://DIAGNOSTIC.IMAGE-LINE.COM/
delref HTTP://WWW.DECKADANCE.COM/
delref HTTP://WWW.IMAGE-LINE.COM/
delref HTTP://WWW.SYNTHMAKER.CO.UK/
delref HTTP://WWW.YANDEX.RU/?WIN=103&CLID=2071972
delref $501B2,3743559,54272,C:\USERS\_JOSH\APPDATA\LOCAL\TEMP\IS-F1FHE.TMP\TUNNGLESETUP.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\GOSAVEE
deldir %SystemDrive%\PROGRAM FILES (X86)\NEXUTCOOUP
deldir %SystemDrive%\PROGRAM FILES (X86)\WEBEBING
dnsreset
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------------------
далее, выполните быстрое сканирование в Malwarebytes

CaIIIa OpEx · 30.09.2014, 22:10

Arkalik, скрипт выполнен, перезагрузил.
Проблем в самом браузере не обнаружено, но расширения все равно остались (см. скриншот выше).
Удалено все, что с ними было связано в первый же день: с диска C и через Удаление программ.
Как их удалить "под корень"? Это возможно?

Arkalik · 30.09.2014, 22:12

CaIIIa OpEx, Далее:

Цитата:

Сообщение от Arkalik

далее, выполните быстрое сканирование в Malwarebytes

+
Сделайте лог AdwCleaner:
http://pchelpforum.ru/showpost.php?p...2&postcount=19

CaIIIa OpEx · 30.09.2014, 22:33

Arkalik,
Отчет по Malwarebytes Anti-Malware: http://rghost.ru/private/58286793/b3...a27f74754c4a07
Вот что показал AdwCleaner:

Код:

# AdwCleaner v3.310 - Отчёт создан 30/09/2014 at 21:29:03
# Обновлено 12/09/2014 by Xplode
# Операционная система : Windows 7 Professional Service Pack 1 (64 bits)
# Имя пользователя : _josh - GIGABYTE
# Запущено из : C:\Users\_josh\Downloads\adwcleaner_3.310.exe
# Настройки : Сканировать

***** [ Службы ] *****


***** [ Файлы / Папки ] *****

Папка Найдено : C:\Users\_josh\AppData\Local\Chromatic Browser
Папка Найдено : C:\Users\_josh\AppData\Local\Google\Chrome\User Data\Default\Extensions\cijkpmedinlbopjlfgggpcjinjfjhkhn
Папка Найдено : C:\Users\_josh\AppData\Local\Google\Chrome\User Data\Default\Extensions\iillkafjeoaofdedkjgdemckcgpbkgfi
Папка Найдено : C:\Users\_josh\AppData\Local\torch
Файл Найдено : C:\Users\_josh\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_static.livelyrics00.live-lyrics.com_0.localstorage
Файл Найдено : C:\Users\_josh\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxps_static.livelyrics00.live-lyrics.com_0.localstorage-journal

***** [ задачи ] *****


***** [ Ярлыки ] *****


***** [ Реестр ] *****

Ключ Найдено : HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}
Ключ Найдено : HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}
Ключ Найдено : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Ключ Найдено : HKLM\SOFTWARE\{5F189DF5-2D05-472B-9091-84D9848AE48B}
Ключ Найдено : HKLM\SOFTWARE\{77D46E27-0E41-4478-87A6-AABE6FBCF252}
Ключ Найдено : HKLM\SOFTWARE\Classes\Interface\{3B3F3AAD-FB97-49FF-BFEE-D22869AC4326}
Ключ Найдено : HKLM\SOFTWARE\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC}
Ключ Найдено : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\S-576482620
Ключ Найдено : [x64] HKLM\SOFTWARE\Classes\Interface\{3B3F3AAD-FB97-49FF-BFEE-D22869AC4326}
Ключ Найдено : [x64] HKLM\SOFTWARE\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC}
Ключ Найдено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\464AA55239C100F32AF2D438EDDC0F47
Ключ Найдено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5652BA3D5FB98AE31B337BF0AF939856
Ключ Найдено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EB95E1AFCBABE3DB9ECCC669B99494

***** [ Браузеры ] *****

-\\ Internet Explorer v11.0.9600.17280


-\\ Google Chrome v37.0.2062.124

[ Файл : C:\Users\_josh\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [2635 octets] - [30/09/2014 21:29:03]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [2695 octets] ##########

Arkalik · 30.09.2014, 22:39

CaIIIa OpEx, Удалите все в MBAM - Перезагрузка компьютера
+
Запустите заново AdwCleaner - нажмите "Scan" - Нажмите "Clean" - Перезагрузка компьютера
Сообщите о результате. Если в Гугле Хроме все еще весит плагины, попробуйте их удалить в самом браузере и перезапустить браузер и проверить проблему.

CaIIIa OpEx · 30.09.2014, 22:41

В MBAM действия только: в карантин, добавить в исключения и игнорировать...
Удаления нет.

Arkalik · 30.09.2014, 22:44

CaIIIa OpEx, В Карантин.

CaIIIa OpEx · 30.09.2014, 22:58

Arkalik,
Вот что осталось: http://rghost.ru/58287349/image.png

RP55.RP55 · 30.09.2014, 23:17

CaIIIa OpEx
Отключите все расширения в Хроме.
Пишем по результату.

CaIIIa OpEx · 01.10.2014, 00:07

RP55.RP55, после каждого запуска Chrome выкл./удаляю это расширение...
Этот GGoaSavve (скриншот выше) до конца не удаляется.

RP55.RP55 · 01.10.2014, 00:13

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код:

     


;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
regt 27
deltmp
delnfr
restart

После выполнения скрипта отключите расширение.
Пишем, что в итоге.

30.09.2014, 18:04	#1 (ссылка)
Friglight Новичок Регистрация: 30.09.2014 Сообщений: 1 Репутация: 0	Рекламный вирус. HEUR:AdWare.Script.Generic При работе браузера (Mozilla Firefox) часто Касперский ругается на загрузку вредоносного файла - mo.js. Обьект: http://utils.cdneurope.com/js/mo.js. Как с этим бороться? Читал на паре форумов писали, мол напиши в AVG то, а в uVG то. Что за AVG и uVG я не знаю. Но хочу узнать. Если кто заинтересуется решением этой проблемы прошу описывать все очень и очень подробно. Спасибо.

30.09.2014, 21:19	#5 (ссылка)
Arkalik Специалист Регистрация: 22.04.2012 Сообщений: 5,218 Репутация: 458	CaIIIa OpEx, ВЫПОЛНЯЕМ СКРИПТ В uVS - скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать); - стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена; - отключаем антивирус и закрываем все браузеры перед выполнением скрипта; - на запросы об удалении программ соглашайтесь (нажимаем Да или Далее); Код: ;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v383c OFFSGNSAVE delref HTTP://DIAGNOSTIC.IMAGE-LINE.COM/ delref HTTP://WWW.DECKADANCE.COM/ delref HTTP://WWW.IMAGE-LINE.COM/ delref HTTP://WWW.SYNTHMAKER.CO.UK/ delref HTTP://WWW.YANDEX.RU/?WIN=103&CLID=2071972 delref $501B2,3743559,54272,C:\USERS\_JOSH\APPDATA\LOCAL\TEMP\IS-F1FHE.TMP\TUNNGLESETUP.EXE deldir %SystemDrive%\PROGRAM FILES (X86)\GOSAVEE deldir %SystemDrive%\PROGRAM FILES (X86)\NEXUTCOOUP deldir %SystemDrive%\PROGRAM FILES (X86)\WEBEBING dnsreset deltmp delnfr restart перезагрузка, пишем о старых и новых проблемах. ------------------------ далее, выполните быстрое сканирование в Malwarebytes

01.10.2014, 00:13	#15 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Скопировать текст КОДА - в буфер обмена. uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку ! Код: ;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v383c regt 27 deltmp delnfr restart После выполнения скрипта отключите расширение. Пишем, что в итоге.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Рекламный вирус в браузерах.	andriano	Безопасность	7	26.10.2014 01:37
Подозрение на рекламный вирус.	virtus_pro	Безопасность	5	01.09.2014 14:58
Похоже завелся рекламный вирус	slashboy	Безопасность	13	05.07.2014 15:26
Рекламный вирус в браузерах.	Asakyra	Безопасность	22	18.11.2013 23:11
Как удалить Рекламный модуль (или вирус)?	vasilyog	Безопасность	1	04.03.2010 23:56

30.09.2014, 19:36	#3 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	добавьте логи по правилам http://pchelpforum.ru/showpost.php?p=293738&postcount=2

30.09.2014, 20:58	#4 (ссылка)
CaIIIa OpEx Новичок Регистрация: 23.03.2010 Сообщений: 115 Репутация: 0	И мне нужна помощь: Дня два-три назад загнал вирус с рекламными баннерами в браузере (Chrome). safety, сделал как писал Гарад архив: http://rghost.ru/58284857 и скриншот с расширениями http://rghost.ru/58284914.view

30.09.2014, 22:10	#6 (ссылка)
CaIIIa OpEx Новичок Регистрация: 23.03.2010 Сообщений: 115 Репутация: 0	Arkalik, скрипт выполнен, перезагрузил. Проблем в самом браузере не обнаружено, но расширения все равно остались (см. скриншот выше). Удалено все, что с ними было связано в первый же день: с диска C и через Удаление программ. Как их удалить "под корень"? Это возможно?

30.09.2014, 22:39	#9 (ссылка)
Arkalik Специалист Регистрация: 22.04.2012 Сообщений: 5,218 Репутация: 458	CaIIIa OpEx, Удалите все в MBAM - Перезагрузка компьютера + Запустите заново AdwCleaner - нажмите "Scan" - Нажмите "Clean" - Перезагрузка компьютера Сообщите о результате. Если в Гугле Хроме все еще весит плагины, попробуйте их удалить в самом браузере и перезапустить браузер и проверить проблему.

30.09.2014, 22:41	#10 (ссылка)
CaIIIa OpEx Новичок Регистрация: 23.03.2010 Сообщений: 115 Репутация: 0	В MBAM действия только: в карантин, добавить в исключения и игнорировать... Удаления нет.

30.09.2014, 22:44	#11 (ссылка)
Arkalik Специалист Регистрация: 22.04.2012 Сообщений: 5,218 Репутация: 458	CaIIIa OpEx, В Карантин.

30.09.2014, 22:58	#12 (ссылка)
CaIIIa OpEx Новичок Регистрация: 23.03.2010 Сообщений: 115 Репутация: 0	Arkalik, Вот что осталось: http://rghost.ru/58287349/image.png

30.09.2014, 23:17	#13 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	CaIIIa OpEx Отключите все расширения в Хроме. Пишем по результату.

01.10.2014, 00:07	#14 (ссылка)
CaIIIa OpEx Новичок Регистрация: 23.03.2010 Сообщений: 115 Репутация: 0	RP55.RP55, после каждого запуска Chrome выкл./удаляю это расширение... Этот GGoaSavve (скриншот выше) до конца не удаляется.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads