Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 13.03.2016, 04:29   #1 (ссылка)
Новичок
 
Регистрация: 20.01.2012
Сообщений: 76
Репутация: 0
По умолчанию Рекламный вирус

Здравствуйте! В который раз уже обращаюсь к экспертам любимого форума - всегда помогают. Не по моей вине на компьютер установились вирусы, взялись они из зараженных .exe - торрент файлов, с ненавистного мной сайта tfileточкару. Суть в том, что вирус, как минимум, открывает рекламу всяких казино в браузере по умолчанию, при запуске ОС. Вирус открывается в браузере, которым я не пользуюсь - так получилось. Так вот в течение работы за компьютером эта реклама открывается в браузере примерно каждые 30-40 минут. Пробовал чистить различными утилитами вроде adwcleaner или утилитой dr.web, но после рестарта вирусы опять устанавливаются. Прошу по средствам скриптов не удалять расширения в хроме, там посторонних, неизвестных для меня расширений нет, конечно если они как-нибудь не скрыты. Заранее благодарю за поддержку!

Логи uVS
Terpariz вне форума  
Старый 13.03.2016, 05:38   #2 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\ILIA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\USERS\ILIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AFBPDHICLGGHNFFHKINJIKGLGMOLHPEE\1.2.0.3_0\TORRENT SEARCH

delref %SystemDrive%\USERS\ILIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ILIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 13.03.2016, 14:53   #3 (ссылка)
Новичок
 
Регистрация: 20.01.2012
Сообщений: 76
Репутация: 0
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
выполняем скрипт в uVS

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
К сожалению скрипт не помог, как и проверка в Malwarebytes.

Лог Malwarebytes
Terpariz вне форума  
Старый 13.03.2016, 15:59   #4 (ссылка)
Новичок
 
Аватар для Миха Р.
 
Регистрация: 24.03.2011
Сообщений: 431
Репутация: 9
Профиль ВКонтакте
По умолчанию

Посмотрите расширения в браузере
Миха Р. вне форума  
Старый 13.03.2016, 16:49   #5 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

дойдем и до расширений,

переделайте лог мбам в текстовом формате, xml нечитабелен
(проверка в мбам, сама по себе не решает проблемы, надо смотреть лог, что было найдено)
safety вне форума  
Старый 13.03.2016, 21:27   #6 (ссылка)
Новичок
 
Регистрация: 20.01.2012
Сообщений: 76
Репутация: 0
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
дойдем и до расширений,

переделайте лог мбам в текстовом формате, xml нечитабелен
(проверка в мбам, сама по себе не решает проблемы, надо смотреть лог, что было найдено)
Я понимаю, что сама проверка не решит проблемы, просто по результатом её было предложено устранить некоторые подозрительные файлы.

Текстовый лог Malw.
Terpariz вне форума  
Старый 13.03.2016, 21:35   #7 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

1) Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672
после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

2) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html
RP55.RP55 вне форума  
Старый 13.03.2016, 21:43   #8 (ссылка)
Новичок
 
Регистрация: 20.01.2012
Сообщений: 76
Репутация: 0
По умолчанию

Цитата:
Сообщение от RP55.RP55 Посмотреть сообщение
1) Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672
после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

2) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html
Лог Adwcleaner
Лог FRST

Последний раз редактировалось Terpariz; 13.03.2016 в 21:54.
Terpariz вне форума  
Ads
Старый 13.03.2016, 22:06   #9 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код:
  

Task: {1E32ED74-04BB-4621-B8B2-49BD04C996CA} - \ASC8_PerformanceMonitor -> No File <==== ATTENTION
Task: {4DF536E8-97EA-4CF5-8DCF-9F9FAE53EE79} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
URLSearchHook: HKU\S-1-5-21-3313474204-2430156471-704624332-1001 - (No Name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No File
SearchScopes: HKU\S-1-5-21-3313474204-2430156471-704624332-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B987DCD5F-2D75-49FA-8851-CE3A6A8B8449%7D&gp=821273
SearchScopes: HKU\S-1-5-21-3313474204-2430156471-704624332-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear
SearchScopes: HKU\S-1-5-21-3313474204-2430156471-704624332-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B987DCD5F-2D75-49FA-8851-CE3A6A8B8449%7D&gp=821273
CHR Extension: (Torrent Search) - C:\Users\Ilia\AppData\Local\Google\Chrome\User Data\Default\Extensions\afbpdhiclgghnffhkinjikglgmolhpee [2016-03-13]
CHR Extension: (LoungeDestroyer) - C:\Users\Ilia\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ghahcnmfjfckcedfajbhekgknjdplfcl [2016-03-11]
EmptyTemp:
Reboot:
Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.
RP55.RP55 вне форума  
Старый 13.03.2016, 22:59   #10 (ссылка)
Новичок
 
Регистрация: 20.01.2012
Сообщений: 76
Репутация: 0
По умолчанию

После перезапуски все так же открывается вкладка с вулканом

Последний раз редактировалось safety; 14.03.2016 в 06:30.
Terpariz вне форума  
Старый 13.03.2016, 23:50   #11 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

1) Удалите ярлыки проблемного браузера - создайте новые.


2) Откройте в текстовом редакторе файл hosts
C:\WINDOWS\system32\drivers\etc\hosts
Пропишите в файл строки:

127.0.0.1 Адрес проблемного сайта
127.0.0.1 www.Адрес проблемного сайта
127.0.0.1
127.0.0.1 www.

После
Перезагрузите PC
Доступ к проблемным сайтам будет заблокирован.
Пишем результат.
-------
RP55.RP55 вне форума  
Старый 14.03.2016, 01:57   #12 (ссылка)
Новичок
 
Регистрация: 20.01.2012
Сообщений: 76
Репутация: 0
По умолчанию

Открытие вкладки не прописано в ярлыке, но на всякий новый ярлык сделал. Браузер по умолчанию открывается сам. Сайт в хостс прописал как только поймал вирус, да только вот лучше бы я прописал его там до заражения(.

Последний раз редактировалось safety; 14.03.2016 в 06:31.
Terpariz вне форума  
Старый 14.03.2016, 02:51   #13 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Добавьте новый образ автозапуска в uVS.
Создайте образ в тот момент когда в браузере будет реклама.
Соответственно при активном браузере.
RP55.RP55 вне форума  
Старый 14.03.2016, 03:12   #14 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код:
     


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
bl 6A51E38A0074B7E966407E785F8F812D 374520
delall %SystemDrive%\USERS\ILIA\APPDATA\ROAMING\IMAGECROPRESIZE\IMAGEED\IMAGEED.EXE
restart
Пишем по результату.
RP55.RP55 вне форума  
Старый 14.03.2016, 03:26   #15 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Точно проблема в этой пакости.
Нашёл аналогичную тему: http://forum.kasperskyclub.ru/index....c=49274&page=1
RP55.RP55 вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вирус рекламный smitssv Безопасность 5 27.08.2015 17:11
Рекламный вирус smitssv Безопасность 3 20.08.2015 22:51
Рекламный вирус smitssv Безопасность 9 23.07.2015 06:26
Рекламный вирус в браузер Asakyra Безопасность 12 22.11.2014 14:39
Рекламный вирус. Friglight Безопасность 17 01.10.2014 19:55


Текущее время: 13:48. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.