Показано с 1 по 20 из 20.

Подмена стандартных рекламных баннеров vk.com и взлом почты mail.ru (заявка № 146665)

  1. #1
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    13
    Вес репутации
    12

    Подмена стандартных рекламных баннеров vk.com и взлом почты mail.ru

    Здравствуйте.

    Недавно на сайте vk.com обнаружил подмену рекламы: вместо обычных двух рекламок появляется длинный анимированный баннер с рекламой заработка в сети или онлайн игр или три блока рекламы сайтов знакомств, рецептов похудения и пр. После чистки CCleaner'ом проблема исчезала на несколько минут, потом снова появлялась. Точно так же стала появляться реклама в приложении ВКонтакте, причём абсолютно такой же баннер, как в приложении, вылез на одном из форумов, который я посетил в поисках решения проблемы. Но том форуме у пользователя была такая же проблема, как у меня, помочь ему не смогли, но он в итоге написал: "Проблему решил. Ничайно в ручную нашел в моих документах запрятаную папку Scripts, а там два js файла witkontakt.user и witPlugin.user. Удалил их и все ок. Странно что каспер не нашел их." - у меня такой папки не обнаружилось (если надо, могу скинуть ссылку на тему в том форуме). Сейчас даже после чистки CCleaner'ом баннеры подменяются сразу при входе в Контакт. Такое впечатление, что эта тварь за несколько дней подросла и возмужала.

    Проблема с баннерами появляется только в опере. На компьютере установлено несколько браузеров (ставил, чтобы выбрать наиболее удобный): гугл-хром, яндекс-хром, мэйл-хром, firefox, safari, internet explorer (если его за браузер ещё считают) - с ними всё в порядке, все браузеры устанавливал примерно в одно время ещё в июне или июле.
    C файлом hosts всё в порядке: буквы в имени файла на латинице, скрытых файлов в папке нет, полос прокрутки в файле нет, он коротенький и почти как стандартный, в конце одна строчка лишняя (может, и не лишняя, просто не помню, чтобы она там была), но она с комментарием, так что, безопасная:
    # ::1 localhost

    Всё это не так страшно, но потом выяснилось, что в мою почту на mail.ru заходит какое-то тело с липецким ip и свинячит в "Моём Мире" - наставил кучу статусов со ссылками и добавил фоток с рекламой сайтов для похудения, из-за чего "Мой Мир" меня заблокировал. Я сменил пароль и секретный вопрос с другого компьютера, с этого уже боюсь куда-то заходить. Пользуюсь менеджером паролей, сохранены были пароли к mail.ru, yandex.ru, qip.ru - взломана только почта на mail.ru (точнее, этот взлом я запалил, возможно, и другие взломаны, но я не знаю, как это определить).

    На ноуте стоит Windows 8, из защиты - уже установленный Windows Defender. После обнаружения вирусной активности просканировал комп утилитой Dr.Web CureIt - ничего не нашёл.
    Скачал Kaspersky Security Scan. Этот показал наличие уязвимостей в winamp и системном файле в папке sysWOW64 - обновил Winamp до последней версии и скачал патч MSXML 4.0 SP3 Parser, устраняющий зафиксированую проблему. Не помогло.
    Скачал Kaspersky Virus Removal Tool. Этот выразил недовольство обозревателями кэша от NirSoft (www.nirsoft.net). Трогать их я не стал, они довольно давно у меня, ещё на другом ноуте с Windows XP их использовал, KIS на них тогда не ругался. Ничего не изменилось, баннеры всплывают...
    Скачал kis14.0.0.4651. Этот также обратил внимание на продукцию Nirsoft и прогрмму для преобразования файла паролей Оперы в табличный вид. На всякий случай я их удалил. Ещё Каспер позаботился об удалении установочного файла Adobe Dreamweaver со встроенным патчем (или как там это называется) - программка записывала в hosts ip-адреса серверов Adobe. На этом всё - и баннеры всё ещё появляются.
    Сделал полную проверку Каспером с максимально жёсткими настройками в безопасном режиме - ничего.

    Вот такая печальная история. Помогите написать к ней счастливый конец
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) kozar-sergey, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Info_bot получил(а) благодарность за это сообщение от


  5. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,237
    Вес репутации
    1022
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  6. mike 1 получил(а) благодарность за это сообщение от


  7. #4
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    13
    Вес репутации
    12
    Сделал.
    Вложения Вложения

  8. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,237
    Вес репутации
    1022
    1.
    • Запустите повторно AdwCleaner (by Xplode), нажмите на кнопку "Scan", а по окончанию сканирования снимите галочки со следующих строк:

      Код:
      Folder Found C:\Users\Сергей\AppData\Local\Mail.Ru
    • Затем нажмите кнопку "Clean" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

    2. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #6
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    13
    Вес репутации
    12
    Прошу прощения за задержку, у меня маленький ребёнок, пришлось отвлечься.
    Всё сделал, как вы писали. Обратил внимание на запись, сделанную AVZ во время проверки:
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    Проверка отключена пользователем
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем

    Отсутствие этого файла ntoskrnl.exe критично для работы ОС?
    Пункты 5 и 6 - я не отключал проверку. Так и должно быть?
    Вложения Вложения

  10. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,237
    Вес репутации
    1022
    Это особенность работы AVZ на 64 разрядной системе.

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O2 - BHO: Slick Savings - {34A0D84B-CDDC-4EC4-AFDD-4F1DDE1D14E5} - C:\Users\Сергей\AppData\Roaming\Slick Savings\Coupons.dll
    Сделайте новый лог HiJackThis

    Сделайте лог MiniToolBox (http://virusinfo.info/showthread.php?t=122524)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #8
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    13
    Вес репутации
    12
    AVZ, HijackThis и MiniToolBox запускал через контекстное меню проводника с правами администратора.
    Указанная строка была, пофиксил. Вот новые логи.
    Вложения Вложения

  12. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,237
    Вес репутации
    1022
    Что с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  13. #10
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    13
    Вес репутации
    12
    Проблем было две: с баннерами и с почтой. Только что закрыл все программы и браузеры, почистился CCleanr'ом, перезагрузился - баннеры как были, так и остались. На почту пока боюсь заходить с этого ноута, я так и не знаю, что произошло: у меня стырили файл паролей к Опере или я просто забыл нажать кнопку "Выйти" и этим воспользовались? Если второе - сменой пароя всё решилось, новый пароль я в Опере не запоминал (поскольку с ним ещё даже и не входил в почту). Если первое, то надо понять, зараза, которая стырила файл паролей, где? Если на компе её нет, то вопрос со взломом почты можно уже опустить, а если всё ещё на компе?
    Спасибо за вашу помощь, Михаил. Что ещё можно предпринять, кроме встренного сервиса "Восстановления системы без удаления файлов"?

  14. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,237
    Вес репутации
    1022
    Проблема с рекламой наблюдается в каком-то одном браузере или во всех сразу?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  15. #12
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    13
    Вес репутации
    12
    Только в Опере, в других этой проблемы не было.

    Михаил, я писал вначале, что на одном форуме пытались решить такую же проблему, и пользователь в итоге написал: "Проблему решил. Ничайно в ручную нашел в моих документах запрятаную папку Scripts, а там два js файла witkontakt.user и witPlugin.user. Удалил их и все ок. Странно что каспер не нашел их."

    Так вот, у меня Windows 8 всего несколько месяцев, и я не особо в ней разобрался (точнее - вообще она меня бесит), в частности, поиск встроенной службой у меня вообще ничего не находит. Набираю Win+F, ввожу имя заведомо существующего на компьютере файла - и ничего. Видимо, алгоритм поиска другой, не такой, как в Windows XP. Если бы вы подсказали, как "по-старинке" искать файлы, может, я и нашёл бы те самые два js файла witkontakt.user и witPlugin.user, если они есть?

  16. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,237
    Вес репутации
    1022
    Отключите в браузере Опера временно все расширения. Проверьте проблему.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  17. mike 1 получил(а) благодарность за это сообщение от


  18. #14
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    13
    Вес репутации
    12
    Оригинально... Стояло расширение Desktopy версия 1.1 от Desktopy LLC, после его отключения в Контакте появилась обычная реклама, этих анимированных баннеров больше нет, в приложении в Контакте баннеры тоже исчезли.
    Спасибо вам огромное, Михаил, эту проблему, видимо, закрыли. У меня есть желание не только отключить это расширение, но и удалить его. Или вам нужна эта зловредина для изучения? Как быть с почтой? Пользоваться, как раньше, пока не появится подозрение в очередной краже?

  19. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,237
    Вес репутации
    1022
    Нет ее нужно удалить. Самое главное название теперь знаем.

    На почте можете сменить пароли. А так можете всегда оформить новую заявку если будут какие нибудь подозрения на вирусы.

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  20. #16
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    13
    Вес репутации
    12
    Удалить просто нажатием в браузере кнопки "Удалить"? Эта утилита, насколько я понял, удалением не занимается, верно?

    Log-файл сканирования SecurityCheck прилагается.
    Вложения Вложения

  21. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,237
    Вес репутации
    1022
    1. Да нажатием на кнопку удалить.

    2. Установите обновления.

    Yandex v.25.0.1364.17262 Внимание! Скачать обновления
    Mozilla Firefox 22.0 (x86 ru) v.22.0 Внимание! Скачать обновления
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  22. #18
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    13
    Вес репутации
    12
    Удалил, обновления для браузеров установил.
    На будущее: если я какими-то браузерами пользоваться точно не буду, их лучше удалить для большей безопасности?

  23. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,237
    Вес репутации
    1022
    Если их своевременно обновлять, то в принципе можно и не удалять их. Хотя с другой стороны если вы не используете какие нибудь сторонние браузеры, то их можно удалить.

    Советы и рекомендации после лечения компьютера
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  24. #20
    Junior Member Репутация
    Регистрация
    01.10.2013
    Сообщений
    13
    Вес репутации
    12
    Ясно. Спасибо вам за помощь, Михаил. Хорошо, что есть ещё такие люди Успехов вам!

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Подмена mail.ru блокером 7781
    От quller в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 29.03.2013, 12:39
  2. Подмена адреса vkontakte.ru, odnoklassniki.ru, mail и.т.п.
    От santik1 в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 29.09.2010, 16:31
  3. взлом e-mail
    От lvbnhbq007 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 23.09.2010, 10:47
  4. Взлом e - mail. Насколько это просто?
    От kLen в разделе Общая сетевая безопасность
    Ответов: 83
    Последнее сообщение: 09.09.2010, 07:09
  5. Ответов: 5
    Последнее сообщение: 15.10.2006, 19:32

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00940 seconds with 21 queries