Во всех браузерах (Opera, IE, Ghrome) на всех страницах всплывает вирусная реклама
Привет! Помогите,пожалуйста! При открытии браузеров всплывает множество рекламных сообщений, которые открывают новые вкладки. Также при наборе текста в строке поиска идёт перенаправление на mail-поисковик (go.mail.ru), причём в настройках и расширениях браузеров его нигде нет. Файлы во вложении.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) mandibula50, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
QuarantineFile('C:\Documents and Settings\1111\Local Settings\Application Data\Microsoft\Windows\toolbar.exe','');
QuarantineFile('C:\Documents and Settings\1111\Application Data\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Documents and Settings\1111\Application Data\DB8134F4-1425061291-6A75-B900-0018F3546945\nsz153.tmpfs','');
QuarantineFile('C:\Documents and Settings\1111\Application Data\DB8134F4-1425061291-6A75-B900-0018F3546945\jnsc15E.tmp','');
StopService('wyrigeqi');
DeleteService('wyrigeqi');
StopService('jigezecu');
DeleteService('jigezecu');
QuarantineFile('c:\documents and settings\1111\application data\db8134f4-1425061291-6a75-b900-0018f3546945\nsz153.tmpfs','');
TerminateProcessByName('c:\documents and settings\1111\application data\db8134f4-1425061291-6a75-b900-0018f3546945\nsz153.tmpfs');
QuarantineFile('c:\documents and settings\1111\application data\db8134f4-1425061291-6a75-b900-0018f3546945\jnsc15e.tmp','');
TerminateProcessByName('c:\documents and settings\1111\application data\db8134f4-1425061291-6a75-b900-0018f3546945\jnsc15e.tmp');
DeleteFile('c:\documents and settings\1111\application data\db8134f4-1425061291-6a75-b900-0018f3546945\jnsc15e.tmp','32');
DeleteFile('c:\documents and settings\1111\application data\db8134f4-1425061291-6a75-b900-0018f3546945\nsz153.tmpfs','32');
DeleteFile('C:\Documents and Settings\1111\Application Data\DB8134F4-1425061291-6A75-B900-0018F3546945\jnsc15E.tmp','32');
DeleteFile('C:\Documents and Settings\1111\Application Data\DB8134F4-1425061291-6A75-B900-0018F3546945\nsz153.tmpfs','32');
DeleteFile('C:\Documents and Settings\1111\Application Data\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Documents and Settings\1111\Local Settings\Application Data\Microsoft\Windows\toolbar.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите checkbrowserslnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
HKU\S-1-5-21-2978114468-689615053-2965514426-1005\...\MountPoints2: {1bc5d65e-c915-11dc-8915-001641b2fb7d} - semo2x.exe
HKU\S-1-5-21-2978114468-689615053-2965514426-1005\...\MountPoints2: {40eac544-1bb5-11df-8c69-001641b2fb7d} - Rundll32.exe .\RECYCLER\vpptdq.dll,Setup
HKU\S-1-5-21-2978114468-689615053-2965514426-1005\...\MountPoints2: {69560a06-dbad-11dc-896e-001641b2fb7d} - semo2x.exe
HKU\S-1-5-21-2978114468-689615053-2965514426-1005\...\MountPoints2: {6d334d2c-d121-11dd-8a9f-0018de795070} - F:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
HKU\S-1-5-21-2978114468-689615053-2965514426-1005\...\MountPoints2: {6e6cc4bc-1784-11de-8b42-0018de795070} - ondnyi.pif
HKU\S-1-5-21-2978114468-689615053-2965514426-1005\...\MountPoints2: {c1389f12-1004-11df-8c58-001641b2fb7d} - F:\sokmqk.exe
Toolbar: HKU\S-1-5-21-2978114468-689615053-2965514426-1005 -> No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
Toolbar: HKU\S-1-5-21-2978114468-689615053-2965514426-1005 -> No Name - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - No File
Toolbar: HKU\S-1-5-21-2978114468-689615053-2965514426-1005 -> No Name - {6AA40521-14E7-4B1D-B1B4-98528C1388C9} - No File
CHR HKLM\...\Chrome\Extension: [clpdgmdkdnijjbgmnajolnbnjejoeogm] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ehkipmcipcejliebomgjmfchgplnbmfm] - No Path Or update_url value
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - https://clients2.google.com/service/update2/crx
C:\Windows\rbtth.exe
C:\Windows\kr.exe
C:\Windows\knm.exe
C:\Windows\xqdnow.exe
C:\Windows\fgx.exe
EmptyTemp:
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Автоматическое перенаправление в строке поиска на go.mail.ru пока не исчезло. Всплывающие окна появляются при обновлении/ открытии вкладок и при закрытии всплывающих окон запускаются открытие новых вкладок на рекламные сайты.
Проблема только в Опере. В остальных браузерах реклама исчезла. Я на Оперу переходила из-за того, что у меня перестал работать Диспетчер закладок в Chrome и ничего не помогало даже переустановка браузера. Если я удалю Оперу и всю информацию по ней, вирусы тоже будут удалены?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: