Реклама в браузере Steam [not-a-virus:AdWare.Win32.Tirrip.f
]
Всем доброго времени суток.
На компьютере стоит 64-разрядная операционная система Windows 7. Столкнулся с такой проблемой: при использовании браузера Steam постоянно вылетает реклама. При клике в любое место. Особенно во время игры, где при нажатии shift+tab вылезает браузер steam. В браузере Яндекс периодически тоже выскакивают окна с рекламой при клике. В Chrome рекламы нет вообще, но, когда отключаю AdBlock, то реклама просто повсюду.
Прошу помощи.
Последний раз редактировалось Justamigo; 30.06.2014 в 02:41.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Justamigo, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Пофиксите в HijackThis только указанные строки (как пофиксить):
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:13968
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\amigo\appdata\local\daemonfat32net\daemonfat32net.exe'); TerminateProcessByName('c:\users\amigo\appdata\local\daemonfat32net\jreofficesymbolic.exe'); TerminateProcessByName('c:\program files (x86)\yawtix\updateyawtix.exe'); ClearQuarantine; QuarantineFile('C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\InputPersonalization.exe',''); QuarantineFile('C:\Program Files (x86)\Yawtix\Yawtixbho.dll',''); QuarantineFile('C:\Users\Amigo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Goodgame Empire.lnk',''); QuarantineFile('C:\Windows\system32\drivers\wStLibG64.sys',''); QuarantineFile('C:\Users\Amigo\AppData\Local\c6470efe8afb5ad181fbba1a4072cb5c\c6470efe8afb5ad181fbba1a4072cb5c.exe',''); QuarantineFile('C:\Users\Amigo\AppData\Local\8856f4e0a744c11d5a07617d1929cd88\8856f4e0a744c11d5a07617d1929cd88.exe',''); QuarantineFile('C:\Users\Amigo\AppData\Local\eaeffacc2511ebed6226d13cdb9bda2f\66a1717b64ebb29.exe',''); QuarantineFile('C:\Program Files (x86)\GamesRS\GUpdater.exe',''); QuarantineFile('C:\Users\Amigo\AppData\Local\DaemonFAT32Net\RegFltrX64.sys',''); QuarantineFile('C:\Users\Amigo\AppData\Local\DaemonFAT32Net\QtNetwork4.dll',''); QuarantineFile('C:\Users\Amigo\AppData\Local\DaemonFAT32Net\QtCore4.dll',''); QuarantineFile('C:\Users\Amigo\AppData\Local\DaemonFAT32Net\libwinpthread-1.dll',''); QuarantineFile('C:\Users\Amigo\AppData\Local\DaemonFAT32Net\libstdc++-6.dll',''); QuarantineFile('C:\Users\Amigo\AppData\Local\DaemonFAT32Net\libgcc_s_dw2-1.dll',''); QuarantineFile('c:\program files (x86)\yawtix\updateyawtix.exe',''); QuarantineFile('c:\users\amigo\appdata\local\daemonfat32net\jreofficesymbolic.exe',''); QuarantineFile('c:\program files (x86)\isafe\isafesvc2.exe',''); QuarantineFile('c:\program files (x86)\isafe\isafesvc.exe',''); QuarantineFile('c:\program files (x86)\isafe\ipcdl.exe',''); QuarantineFile('c:\program files (x86)\gamesrs\gupdater.exe',''); QuarantineFile('c:\users\amigo\appdata\local\daemonfat32net\daemonfat32net.exe',''); DeleteFile('c:\users\amigo\appdata\local\daemonfat32net\daemonfat32net.exe','32'); DeleteFile('c:\users\amigo\appdata\local\daemonfat32net\jreofficesymbolic.exe','32'); DeleteFile('c:\program files (x86)\yawtix\updateyawtix.exe','32'); DeleteFile('C:\Users\Amigo\AppData\Local\DaemonFAT32Net\libgcc_s_dw2-1.dll','32'); DeleteFile('C:\Users\Amigo\AppData\Local\DaemonFAT32Net\libstdc++-6.dll','32'); DeleteFile('C:\Users\Amigo\AppData\Local\DaemonFAT32Net\libwinpthread-1.dll','32'); DeleteFile('C:\Users\Amigo\AppData\Local\DaemonFAT32Net\QtCore4.dll','32'); DeleteFile('C:\Users\Amigo\AppData\Local\DaemonFAT32Net\QtNetwork4.dll','32'); DeleteFile('C:\Users\Amigo\AppData\Local\DaemonFAT32Net\RegFltrX64.sys','32'); DeleteFile('C:\Users\Amigo\AppData\Local\eaeffacc2511ebed6226d13cdb9bda2f\66a1717b64ebb29.exe','32'); DeleteFile('C:\Users\Amigo\AppData\Local\8856f4e0a744c11d5a07617d1929cd88\8856f4e0a744c11d5a07617d1929cd88.exe','32'); DeleteFile('C:\Users\Amigo\AppData\Local\c6470efe8afb5ad181fbba1a4072cb5c\c6470efe8afb5ad181fbba1a4072cb5c.exe','32'); DeleteFile('C:\Program Files (x86)\Yawtix\Yawtixbho.dll','32'); DelBHO('{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}'); DelBHO('{f9c8ce1b-66a0-4f45-af10-5f24ef19bc4e}'); DeleteService('RegFltrX64'); DeleteService('c6470efe8afb5ad181fbba1a4072cb5c.exe'); DeleteService('8856f4e0a744c11d5a07617d1929cd88.exe'); DeleteService('66a1717b64ebb29.exe'); DeleteService('DaemonFAT32Net.exe'); ExecuteSysClean; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
Подготовьте лог AdwCleaner
http://virusinfo.info/showthread.php...=1#post1041844
и приложите его в теме.
C:\Program Files (x86)\iSafe
Знакомо/сами устанавливали?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Добрый вечер. Всё сделал, как вы написали. Карантин загрузил. Что касается iSafe, то самой папки/файла не нашёл, однако что-то такое припоминаю, не могу точно сказать.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Windows\System32\drivers\wStLibG64.sys',''); QuarantineFile('C:\Users\Amigo\AppData\Local\PerlPublicWizard\RegFltrX64.sys',''); QuarantineFile('C:\Users\Amigo\AppData\Local\PerlPublicWizard\RegFltrX86.sys',''); QuarantineFile('c:\users\amigo\appdata\local\perlpublicwizard\perlpublicwizard.exe',''); QuarantineFileF('c:\users\amigo\appdata\local\perlpublicwizard\','*.exe, *.sys, *.dll', true,'',0 ,0); DeleteFile('C:\Users\Amigo\AppData\Local\PerlPublicWizard\RegFltrX64.sys','32'); BC_ImportAll; ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); BC_Activate; RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Профиксите в HijackThis
Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:29540
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Сделайте полный образ автозапуска uVS только программу скачайте отсюда
Карантин прислал, всё, что вы написали, сделал.
Выполните скрипт в uVS и пришлите карантин
Код:;uVS v3.82.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref 1HTTP=127.0.0.1:24991 dirzooex %SystemDrive%\PROGRAM FILES (X86)\GAMESRS dirzooex %SystemDrive%\USERS\AMIGO\APPDATA\LOCAL\D3D5547B515D59A1EBF83E65175EF4F6 deldir %SystemDrive%\USERS\AMIGO\APPDATA\LOCAL\D3D5547B515D59A1EBF83E65175EF4F6 zoo %SystemDrive%\PROGRAM FILES (X86)\GAMESRS\GUPDATER.EXE delref %SystemDrive%\USERS\AMIGO\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-EXECUTOR.EXE delref HTTP://WWW.YANDEX.RU/?WIN=130&CLID=1200402 delref HTTP=127.0.0.1:30914 deltmp czoo restart
Последний раз редактировалось regist; 30.06.2014 в 22:09.
Скрипт выполнил, карантин прислал.
новый образ автозапуска сделайте и заодно отпишитесь, что с проблемой?
Проблема вроде бы как решена. По крайней мере рекламы я больше нигде не встречаю, где до этого она была. В любом случае, могу уже вас поблагодарить. Спасибо вам всем!
Образ автозапуска не могу прикрепить, поскольку не хватает места в менеджере вложений. А как удалить прошлые файлы, мне не удалось понять.
в моей подписи ссылка, на список частых вопросов. Вот ответ на ваш Как удалить вложения?
либо загрузите сюда http://rghost.ru/ и выложите ссылку на скачивание.
Благодарю. Вот, собственно, образ:
Выполните скрипт uVS и пришлите карантин
свежий образ автозапуска прикрепите.Код:;uVS v3.82.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 regt 14 delall %SystemDrive%\USERS\AMIGO\APPDATA\LOCAL\D3D5547B515D59A1EBF83E65175EF4F6\C0CBA27BDF1D0D1.EXE zoo %SystemDrive%\USERS\AMIGO\APPDATA\LOCAL\DOCKICONPROGRAM\DOCKICONPROGRAM.EXE zoo %SystemDrive%\USERS\AMIGO\APPDATA\LOCAL\DOCKICONPROGRAM\DEFAULTFROZENWIN32.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\GAMESRS\GUPDATER.EXE delall %SystemDrive%\USERS\AMIGO\APPDATA\LOCAL\PERLPUBLICWIZARD\PERLPUBLICWIZARD.EXE delref HTTP=127.0.0.1:33974 delref 1HTTP=127.0.0.1:30914 czoo restart
- - - Добавлено - - -
+ проверьте на вирустотал файлы
ссылки на результат проверки напишите здесь.Код:C:\PROGRAM FILES (X86)\GAMESRS\GUPDATER.EXE C:\USERS\AMIGO\APPDATA\LOCAL\DOCKICONPROGRAM\DOCKICONPROGRAM.EXE C:\USERS\AMIGO\APPDATA\LOCAL\DOCKICONPROGRAM\DEFAULTFROZENWIN32.EXE
+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Скрипт выполнил, карантин прислал. Образ автозапуска ниже прикрепил.
Ссылки на результаты проверки вирустотал:
https://www.virustotal.com/ru/file/9...is/1404158883/
https://www.virustotal.com/ru/file/5...is/1404158991/
https://www.virustotal.com/ru/file/2...is/1404159030/
И вот две ссылки, полученные после загрузки второго карантина:
http://virusinfo.info/virusdetector/...948DDD95A96D72
http://virusinfo.info/showthread.php?t=162344
Выполните скрипт в uVS:
В процессе выполнения скрипта будет предложено деинсталлировать программу. Согласитесь. Компьютер перезагрузится. Сделайте логи RSIT.Код:;uVS v3.82.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE breg unload %SystemDrive%\USERS\AMIGO\APPDATA\LOCAL\DOCKICONPROGRAM\DEFAULTFROZENWIN32.EXE unload %SystemDrive%\USERS\AMIGO\APPDATA\LOCAL\DOCKICONPROGRAM\DOCKICONPROGRAM.EXE unload %SystemDrive%\PROGRAM FILES (X86)\GAMESRS\GUPDATER.EXE exec "C:\Program Files (x86)\eDealsPop\unins000.exe" deldir %SystemDrive%\USERS\AMIGO\APPDATA\LOCAL\DOCKICONPROGRAM deldir %SystemDrive%\PROGRAM FILES (X86)\GAMESRS delref 1HTTP=127.0.0.1:33974 delref HTTP=127.0.0.1:16313 deltmp delnfr restart
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Всё, как вы сказали, сделал.
Логи RSIT:
Добавьте лог HiJackThis. Лог RSIT получился неполным.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Добавил
- Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
- Запустите OTM by OldTimer (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
- временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код::Processes :Services DockIconProgram.exe :Files C:\Users\Amigo\AppData\Local\DockIconProgram\DockIconProgram.exe C:\Users\Amigo\AppData\Local\DockIconProgram C:\Users\Amigo\AppData\Local\DaemonFAT32Net C:\Users\Amigo\AppData\Local\eaeffacc2511ebed6226d13cdb9bda2f C:\Users\Amigo\AppData\Local\8856f4e0a744c11d5a07617d1929cd88 C:\Users\Amigo\AppData\Local\c6470efe8afb5ad181fbba1a4072cb5c c:\users\amigo\appdata\local\perlpublicwizard :Reg :Commands [purity] [emptytemp] [Reboot]- В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".
- Компьютер перезагрузится.
- После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Вот
Уважаемый(ая) Justamigo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
