Блокировка в контакте, всплывающие окна и переадресация

[Ene]

Несколько дней назад стали появляться всплывающие окна на странице в контакте, реклама каких-то сайтов заработка в интернете, + когда открываешь личные сообщения или любую ссылку вылезает окно браузера с аналогичным сайтом. Сейчас заблокировали страницу "Мы зафиксировали попытку взлома Вашей страницы." И так далее. Привязка к телефону есть, код присылают от адреса администрации (то есть тут все норм), но со страницы с восстановлением через секунду после открытия переадресует на главную. С других страницы переадресации нет.

[Info_bot]

Уважаемый(ая) Ene, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Сделайте лог MiniToolBox при подключённом интернете.
Сделайте полный образ автозапуска uVS.

[Ene]

вот

[Vvvyg]

Выполните скрипт в uVS

Код:

;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://YAMBLER.NET
delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\TICNO TABS.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\PREMIUM\ZOOMEX\ZOOMEX.EXE
exec "D:\Documents and Settings\All Users\Application Data\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\uninstall.exe" /Uninstall /{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /su=693161e9de823377 /um
exec MsiExec.exe /quiet /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "D:\Program Files\Delta\delta\1.8.10.0\uninstall.exe"
delref HTTP://SEARCHAB.COM/?AFF=7&UID=4B78C2F8-55DD-11E2-926D-000FEAFD3AC8&Q=
delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119529&BABSRC=HP_SS&MNTRID=14A684C9B27FC1C7
deltmp
restart

На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.

Очистите кэш и cookies-файлы браузеров.
Очистите кэш Java.

Проверьте, что с проблемой.

[Ene]

Тоже самое все.

[Vvvyg]

Сделайте лог полного сканирования МВАМ.

[Ene]

вот

[Vvvyg]

Удалите в MBAM:

Код:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
C:\Documents and Settings\ольга с\Local Settings\Temporary Internet Files\Content.IE5\GPRXPNMG\AdVUninst[1].dev.v1000006.17dec2008.exe.9b3d75b247e08784cf84ec0fdb3d84b8 (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\ольга с\Application Data\advantage\AdVUninst.exe (Trojan.Agent) -> Действие не было предпринято.

Очистите кэш и cookies-файлы браузеров.
Очистите кэш Java.

Проверьте, что с проблемой.

[Ene]

Все сделано. Но проблема осталась. После установки MBAM, что до удаления вирусов, что сейчас пишет: была предотвращена попытка доступа к вредоносному сайту (несколько ip-адресов). Если отключить MBAM будут все те же всплывающие окна.

[Vvvyg]

Что у Вас в локальной сети с адресом 192.168.100.1, роутер, сервер? Проблемы могут быть у него.

[Ene]

Роутер это. Есть смысл еще чем-то просканить/почистить? Или сносить винду

[Vvvyg]

Через него ещё какой-то компьютер/ноут/птелефон подключается? Подобных проблем нет?

[Ene]

Ноутбук, нет подобных проблем.

[Vvvyg]

Сделайте лог OTL by OldTimer как описано здесь.

[Ene]

Логи

[Vvvyg]

Уведомление

Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.

Отключите антивирус, запустите OTL, скопируйте скрипт ниже в окно Custom Scans/Fixes и нажмите Run Fix

Код:

:processes

:OTL
SRV - (BrowserProtect) -- D:\Documents and Settings\All Users\Application Data\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe File not found
IE - HKU\S-1-5-21-796845957-1085031214-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119529&babsrc=HP_ss&mntrId=14A684C9B27FC1C7
IE - HKU\S-1-5-21-796845957-1085031214-839522115-1003\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-796845957-1085031214-839522115-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119529&babsrc=SP_ss&mntrId=14A684C9B27FC1C7
FF - prefs.js..browser.search.defaultengine: "Privitize VPN"
FF - prefs.js..browser.search.selectedEngine: "Delta Search"
[2013.04.10 12:39:55 | 000,000,000 | ---D | M] (Zoomex) -- D:\Documents and Settings\Ольга\Application Data\Mozilla\Firefox\Profiles\762mhlmp.default\extensions\[email protected]
[2013.06.02 15:13:08 | 000,000,000 | ---D | M] (Smiles+ v13.6.2) -- D:\Documents and Settings\Ольга\Application Data\Mozilla\Firefox\Profiles\762mhlmp.default\extensions\[email protected]
[2013.05.01 13:08:13 | 000,006,471 | ---- | M] () -- D:\Documents and Settings\Ольга\Application Data\Mozilla\Firefox\Profiles\762mhlmp.default\searchplugins\babylon.xml
[2013.05.01 13:08:13 | 000,006,471 | ---- | M] () -- D:\Documents and Settings\Ольга\Application Data\Mozilla\Firefox\Profiles\762mhlmp.default\searchplugins\BrowserProtect.xml
[2013.03.29 15:34:26 | 000,001,294 | ---- | M] () -- D:\Documents and Settings\Ольга\Application Data\Mozilla\Firefox\Profiles\762mhlmp.default\searchplugins\delta.xml
[2013.01.03 22:40:02 | 000,002,090 | ---- | M] () -- D:\Documents and Settings\Ольга\Application Data\Mozilla\Firefox\Profiles\762mhlmp.default\searchplugins\Searchab.xml
[2013.03.29 15:31:27 | 000,006,468 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\babylon.xml
CHR - default_search_provider: Privitize VPN (Enabled)
CHR - default_search_provider: search_url = http://searchab.com/?aff=7&uid=4b78c2f8-55dd-11e2-926d-000feafd3ac8&q={searchTerms}
CHR - Extension: Smiles+ v13.6.2 = D:\Documents and Settings\Ольга\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pjjjmjmgohikloofmdhlfehkmlpjpbdm\13.6.2_0\
CHR - Extension: Delta Toolbar = D:\Documents and Settings\Ольга\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\eooncjejnppfjjklapaamhcdmjbilmde\1.3_0\
[2012.07.30 12:46:19 | 000,000,000 | ---D | M] -- D:\Documents and Settings\All Users\Application Data\Ask
[2013.03.29 15:30:27 | 000,000,000 | ---D | M] -- D:\Documents and Settings\All Users\Application Data\Babylon
[2013.06.05 06:38:09 | 000,000,000 | ---D | M] -- D:\Documents and Settings\All Users\Application Data\BrowserProtect
[2013.03.29 15:32:03 | 000,000,000 | ---D | M] -- D:\Documents and Settings\Ольга\Application Data\BabSolution
[2013.03.29 15:30:25 | 000,000,000 | ---D | M] -- D:\Documents and Settings\Ольга\Application Data\Babylon
[2012.03.06 15:28:19 | 000,000,000 | ---D | M] -- D:\Documents and Settings\Ольга\Application Data\Ticno
[2012.04.08 10:25:05 | 000,000,494 | ---- | M] () -- D:\Documents and Settings\Ольга\Application Data\del.bat

:Files

recycler /alldrives
ipconfig /flushdns /c
:Reg

:Commands
[EMPTYTEMP]
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot]

Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.

[Ene]

Лог. Вроде все убралось, спасибо большое

[Vvvyg]

Дело было в левых тулбарах и дополнениях FireFox и Chrome.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[Ene]

По поводу браузеров ничего.