13.03.2016, 04:29 | #1 (ссылка) |
Новичок
Регистрация: 20.01.2012
Сообщений: 76
Репутация: 0
|
Рекламный вирус
Здравствуйте! В который раз уже обращаюсь к экспертам любимого форума - всегда помогают. Не по моей вине на компьютер установились вирусы, взялись они из зараженных .exe - торрент файлов, с ненавистного мной сайта tfileточкару. Суть в том, что вирус, как минимум, открывает рекламу всяких казино в браузере по умолчанию, при запуске ОС. Вирус открывается в браузере, которым я не пользуюсь - так получилось. Так вот в течение работы за компьютером эта реклама открывается в браузере примерно каждые 30-40 минут. Пробовал чистить различными утилитами вроде adwcleaner или утилитой dr.web, но после рестарта вирусы опять устанавливаются. Прошу по средствам скриптов не удалять расширения в хроме, там посторонних, неизвестных для меня расширений нет, конечно если они как-нибудь не скрыты. Заранее благодарю за поддержку!
Логи uVS |
13.03.2016, 05:38 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\ILIA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref %SystemDrive%\USERS\ILIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AFBPDHICLGGHNFFHKINJIKGLGMOLHPEE\1.2.0.3_0\TORRENT SEARCH delref %SystemDrive%\USERS\ILIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ILIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes |
13.03.2016, 14:53 | #3 (ссылка) | |
Новичок
Регистрация: 20.01.2012
Сообщений: 76
Репутация: 0
|
Цитата:
Лог Malwarebytes |
|
13.03.2016, 21:27 | #6 (ссылка) | |
Новичок
Регистрация: 20.01.2012
Сообщений: 76
Репутация: 0
|
Цитата:
Текстовый лог Malw. |
|
13.03.2016, 21:35 | #7 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
1) Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru и Yandex снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой 2) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html |
13.03.2016, 21:43 | #8 (ссылка) | |
Новичок
Регистрация: 20.01.2012
Сообщений: 76
Репутация: 0
|
Цитата:
Лог FRST Последний раз редактировалось Terpariz; 13.03.2016 в 21:54. |
|
Ads | |
13.03.2016, 22:06 | #9 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
... Запустите FRST и нажмите один раз на кнопку Fix и подождите. Код:
Task: {1E32ED74-04BB-4621-B8B2-49BD04C996CA} - \ASC8_PerformanceMonitor -> No File <==== ATTENTION Task: {4DF536E8-97EA-4CF5-8DCF-9F9FAE53EE79} - \Обновление Браузера Яндекс -> No File <==== ATTENTION URLSearchHook: HKU\S-1-5-21-3313474204-2430156471-704624332-1001 - (No Name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No File SearchScopes: HKU\S-1-5-21-3313474204-2430156471-704624332-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B987DCD5F-2D75-49FA-8851-CE3A6A8B8449%7D&gp=821273 SearchScopes: HKU\S-1-5-21-3313474204-2430156471-704624332-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-3313474204-2430156471-704624332-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B987DCD5F-2D75-49FA-8851-CE3A6A8B8449%7D&gp=821273 CHR Extension: (Torrent Search) - C:\Users\Ilia\AppData\Local\Google\Chrome\User Data\Default\Extensions\afbpdhiclgghnffhkinjikglgmolhpee [2016-03-13] CHR Extension: (LoungeDestroyer) - C:\Users\Ilia\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ghahcnmfjfckcedfajbhekgknjdplfcl [2016-03-11] EmptyTemp: Reboot: Проверяем, как работает система... и Пишем по _общему результату лечения. |
13.03.2016, 23:50 | #11 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
1) Удалите ярлыки проблемного браузера - создайте новые.
2) Откройте в текстовом редакторе файл hosts C:\WINDOWS\system32\drivers\etc\hosts Пропишите в файл строки: 127.0.0.1 Адрес проблемного сайта 127.0.0.1 www.Адрес проблемного сайта 127.0.0.1 127.0.0.1 www. После Перезагрузите PC Доступ к проблемным сайтам будет заблокирован. Пишем результат. ------- |
14.03.2016, 01:57 | #12 (ссылка) |
Новичок
Регистрация: 20.01.2012
Сообщений: 76
Репутация: 0
|
Открытие вкладки не прописано в ярлыке, но на всякий новый ярлык сделал. Браузер по умолчанию открывается сам. Сайт в хостс прописал как только поймал вирус, да только вот лучше бы я прописал его там до заражения(.
Последний раз редактировалось safety; 14.03.2016 в 06:31. |
14.03.2016, 03:12 | #14 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку ! На вопросы программы отвечаем: Да ! Код:
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v385c OFFSGNSAVE bl 6A51E38A0074B7E966407E785F8F812D 374520 delall %SystemDrive%\USERS\ILIA\APPDATA\ROAMING\IMAGECROPRESIZE\IMAGEED\IMAGEED.EXE restart |
14.03.2016, 03:26 | #15 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Точно проблема в этой пакости.
Нашёл аналогичную тему: http://forum.kasperskyclub.ru/index....c=49274&page=1 |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вирус рекламный | smitssv | Безопасность | 5 | 27.08.2015 17:11 |
Рекламный вирус | smitssv | Безопасность | 3 | 20.08.2015 22:51 |
Рекламный вирус | smitssv | Безопасность | 9 | 23.07.2015 06:26 |
Рекламный вирус в браузер | Asakyra | Безопасность | 12 | 22.11.2014 14:39 |
Рекламный вирус. | Friglight | Безопасность | 17 | 01.10.2014 19:55 |