Браузер открываеться сам, с рекламмой и опасного содержимого
Доброго времени суток! В общем проблема такая:
Браузер открывается сам по себе , в любое время как сам захочет, с переходом на сайты с играми и рекламами о заработке, либо с опасным содержимым . Бывает такое что при поиске в поисковике "Гугль", вместо того чтобы открыть то что я запросил, он сразу начинает открывать сайты с опасным содержимым (трояны и т.д.) с множеством переходов , сначала первую ссылку а затем вторую и т.д. О чем извещает ESET smart sekurity 6 версия, и сразу блокирует доступ. Стоит "Мозила" версия - 22, при попытке закрыть браузер, он начинает зависать и не закрывается, если запущены другие программы то они зависают тоже. Вот и приходиться убивать процесс через диспетчера задач.
В чем причина? что я мог такое поставить и как убить это нечто?...
В общем ребята вот что получилось: При запуске АVZ начал сканирование компьютара, чтобы собрать инфу. В результате, приближаясь к завершению сканировыания, AVZ нашел трояна по пути: C:\User\uSER\aPPdATA\Local\Temp\instal.exe>>>>>tro jan.Win32.Agent2.krh
далее я не знаю удалил он его или нет, но я не пойму, как ESET NOD-32 пропустил его в систему и даже не среогировав??? Далее, перезагружаю комп. запускаю скрипт для сбора инфы для вашего сайта, и как только он закончил собирать инфу, как вдруг открываеться снова браузер сам по себе с сылкой на игру самолеты. Я попытался закрыть эту вкладку в браузере, но она не закрываеться. Браузер заблокировал закрытие>, пришлось убить процесс диспетчером задач. То есть я так понял что AVZ его не убил, а нашел только трояна...
прилогаю логи ниже ...
второй файл protection-2, показывает странное поведения "мал вар" блокирует ип адресс 111.111.111.111
Последний раз редактировалось platon; 10.08.2013 в 17:25.
Причина: добавление файла
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) platon, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Users\User\AppData\Local\Temp\Rar$DR00.033\LaunchGTAIV.exe','');
QuarantineFile('C:\Users\User\AppData\Local\Temp\Rar$EX00.957\Clickermann v4.5\Clickermann.exe','');
QuarantineFile('C:\Users\User\AppData\Local\Temp\Rar$EX00.964\Keygen.EXE','');
QuarantineFile('C:\Users\User\Downloads\clickermann_last.zip','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.
Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?im
R3 - URLSearchHook: (no name) - - (no file)
программа "кликер ман" это программа которая кликает в браузере по параметрам, до нее все было так же...
второй файл определеный как троян, это "кряк" игры GTA . Единственый файл к которому у меня сомнения это
C:\Users\User\AppData\Local\Temp\Rar$EX00.964\Keyg en.EXE
всё сделал как описано выше, выключил антивирус и файрвол, отсоеденил кабель интернета от компа, выполнил скрипт после комп перезагрузился, после ввел второй скрипт, после отослал вам запрошеный карантин (вверху сайта красным) далее нашел эти 2 строчки и профиксил их в hijackthis, как вдруг запускаеться браузер снова сам по себе с этой ссылкой !!! http://ru.playpw.com/welcome/l1/?p=a...1012_450852464
в общем не помогло не чего.
прикрепляю логи RSIT
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
AmmyyAdmin ставил сам не помню откуда, это .exe файл запускаеться без установки , могу удалить. Вы так же можете зайти через нее ко мне в комп и глянуть траблы...
прикрепляю отчеты: AdwCleaner[R1] и MiniToolBox.exe
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
Я уже 10 программ скачал а толку нет , вот лог от Combofix. Мне интересно как эта маленькая програмка отключила мой антивирус, после от имени администратора начала рыть мой комп? вот вам и антивирусы...
- - - Добавлено - - -
только что браузер снова сам по себе открыл вкладку со с ссылкой http://browsergame.travian.ru/theater_of_war/?ad=10859_1081512100 в общем не чего не помогло, и я заметил что в основно он начинает открывать браузер при первом запуске либо после перезагрузки после ожидания от 5-10 минут.
- - - Добавлено - - -
в папке etc файле hosts почему то стоит только 127.0.0.1 localhost и больше не чего нету (пусто) куда то пропало остальное..
я в родном браузере не работаю вобще, только в мазиле. Появился странный ярлык в папке диска С с переходом на диск "С". всё сделал как указано выше лог ComboFix.txt прилогаю
И снова запустился браузер и открылась дополнительная вкладка со сылкой на рекламу игры http://ru.playpw.com/welcome/l1/?p=a...1012_452347035 . далее сработал ваш антивирус который поставил ранее малваребайт пишет: была предотвращена попытка на узел к вредоносным сайтам ip: 217.199.218.100 порт: 49629 mozila.exe посмотрев отчеты "малваребайт" , нашел там вот что сылка и вот ещё ,перестал работать файлообменик http://rghost.ru/ куда я закачивал файлы
- - - Добавлено - - -
вроде нашел заразу! при запуске браузера в левом углу экрана запускаеться дрянь в виде небольшого гаджета без свойств , картинки, меню и т.д. Её можно водить по рабочему столу, но оно не закрываеться а только убиваеться через диспетчера задач вместе с мозилой. скрин прилогаю 111.jpg вот она эта тварь! 2ой вопрос, как её убить и как она залезла ко мне?
- - - Добавлено - - -
она же дает команду браузеру открывать сылки
- - - Добавлено - - -
67534aa2444444444444444.jpg под цифрой 1. эта дрянь запускаеться, и дает команду мозиле открыть вкладку с рекламой, а может и сама запустить себя и браузер вместе и дать команду на рекламу! если кликнуть по этой дряне (мини гаджет) то браузер зависнет и заблокируеться. сама же дрянь не закрываеться так как у нее нету свойств и меню. Закрываеться только с браузером с помощью дистпечера задач.
- - - Добавлено - - -
дрянь на рисунке под цифрой 2.
Уважаемый(ая) platon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: