Adware в браузерах

[Future]

Здравствуйте, установил недавно из непроверенного источника софт, после чего заполучил непонятные расширения для всех браузеров и непонятную программу в program files. Софт удалил средствами Windows, посшибал расширения, пофиксил пару раз все найденные уязвимости при помощи adwcleaner, также пофиксил явно злонамеренные ключи с рекламными ссылками в hijackthis. Пару дней всё работало хорошо, а сегодня полезла реклама отовсюду поверх сайтов + всплывающие окна с рекламой, спасаюсь пока только полным блоком всего в NoScript.

[Info_bot]

Уважаемый(ая) Future, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


2)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Future]

1) Заслал карантин,
ссылка на рез-ты анализа - http://virusinfo.info/virusdetector/...F800C0FBFCE552
MD5 карантина: C9A1FA3EB5AC4B0FA9F800C0FBFCE552
Тема для обсуждения результатов анализа: http://virusinfo.info/showthread.php?t=174457

Пункты 2) и 3) подгружу после перзагрузки

- - - - -Добавлено - - - - -

2) Во вложении 3) Во вложении, первый раз выпало с ошибкой, после перезагрузки вроде ОК всё прошло. Скрин ошибки тоже вложил.

[regist]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать")
• По окончанию сканирования снимите галочки со следующих строк:
  
  Код:

  Service Found : KMService
  
  ***** [ Files / Folders ] *****
  
  File Found : C:\WINDOWS\system32\srvany.exe
  Folder Found : C:\Documents and Settings\All Users\Application Data\AlawarWrapper

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Future]

Похоже, что AdwCleaner[R0].txt оказался старым - у него дата создания в свойствах 19.09.2014 Сейчас adwcleaner вообще ничего во время скана не нашёл. Прикладываю последний и предпоследний логи.

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Удалить).
• Подтвердите удаление нажав кнопку: Да.

скачайте отсюда Оперу и проверьте проблему в ней.

[Future]

На мобильной опере открыл 5-6 вкладок и проблемы не появились, на фаерфоксе как только включаю скрипты обратно - вылазит реклама ads by info и всплывающие окна удалено

[Future]

только что нашёл новое неизвестное расширение для firefox - 9a7a67d3304847fbacded0f7ae51f86a 1002.56.313 пока не стал трогать

[regist]

Удалите его и проверьте, что с проблемой.
Если не поможет, то отключите все расширения и ещё раз проверьте проблему.

[Future]

Удалил его, заодно удалил новое неизвестное расширение для chrome - пока никаких проблем нет.

[regist]

заодно удалил новое неизвестное расширение для chrome

название не запомнили? Случайно не это

Код:

CHR Extension: (cifilbmpnkjinlkchohdfcpdkmpngiik) - C:\Documents and Settings\solovyov.av\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\cifilbmpnkjinlkchohdfcpdkmpngiik [2015-01-11]

?


+ Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[Future]

1) да, название хромовского расширения очень похоже - длинная белиберда
2) выполнил скрипт, нашлась одна уязвимость - Накопительное обновление безопасности для браузера Internet Explorer, правда я им не пользуюсь совсем.

я ведь эти все расширения один раз уже удалял, и пару раз adwcleaner после этого чистил, а они опять откуда-то взялись, т.е. не всё где-то на компе почистилось?

пс. пока лазил на компе нашёл пару странных папок в program files : 2d8b6a4f-a48c-4945-a525-481ecd39624e и a7c5982c-1cfa-4403-9043-3d4f7c4ee681, с одноимёнными dll-файлами внутри.

[regist]

пс. пока лазил на компе нашёл пару странных папок в program files : 2d8b6a4f-a48c-4945-a525-481ecd39624e и a7c5982c-1cfa-4403-9043-3d4f7c4ee681, с одноимёнными dll-файлами внутри.

можете проверить их здесь https://www.virustotal.com/
а так похоже на остатки от pirrit, попробуйте пока удалить в корзину эти папки.

[Future]

Половина антивирусов на virustotal, считают эти дллки какой-то дрянью. удалил их.

[regist]

папки в которых они были также можете удалить.