Добрый день! Всех со светлым праздником Вербного воскресения!
Помогите справится с проблемой.
Самостоятельно прописалось дополнение в мозилле, после чего стали появляться рекламные перенаправления на незапрашиваемые страницы, а также открытия в новом окне. Дополнение было удалено, но проблема - осталась. Атаки идут до десятка в минуту и более. Работоспособность системы существенно снизилась. Стандартный KAV 2014 только фиксирует проблему, но не лечит. Запуск CureIt от Др.Веб якобы пролечил файл host, но тоже без особых изменений. Навесы на мозиллу типа ABP и AdMuncer также фиксируют попытки перенаправления, до 90% - блокируют, но все равно это, на мой взгляд, не нормальная работа.
Я перепробовал по порядку все наиболее известные утилиты по поиску малвары: Trojan Remover, SpyHunter, Malwarebytes Anti-Malware, YAC - к сожалению, безрезультатно. Никто не ловит этот вирус....Знакомые кодеры сказали, что эта зараза криптует экзешники, и что без переустановки системы никак не обойтись...(( На вас одна надежда осталась, ибо на ноуте много нужной информации.
ОС - Windows 7 Home Extended, 64-bit, ОЗУ-3Гб, Intel P6200, 2,13GHz
Заранее благодарен.
(p.s. virusinfo_syscure.zip на всякий случай креплю, хотя и прочел оговорку для 64-битных систем)
(p.s. архив virusinfo_syscheck.zip (37.5 Кб)- отчет о выполнении скрипта с выключенным антивирусником, если это важно)
Последний раз редактировалось Andrew D; 05.04.2015 в 20:44.
Причина: не выключил антивирус при выполнении скрипта
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Andrew D, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
После выполнения скрипта редиректов не было минут 20-ть, но перед отправкой вам этого письма прошло 2-3 перехвата. Через час редиректы и рекламные окна стали появляться с прежней интенсивностью. Причем, чем больше активных переходов в результате целевого серфинга по работе с использованием Мозиллы, тем чаще меня атакует реклама.
Последний раз редактировалось Andrew D; 06.04.2015 в 08:44.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению (можно все в одном архиве).
Опции List BCD и Driver MD5 при сканировании не выделять, как иногда просят? Выполнил с этими двумя опциями. Если нужен анализ без них-готов повторить сканирование. С уважением.
Последний раз редактировалось Andrew D; 06.04.2015 в 14:59.
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
"Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически."
Есть проблема - No Fix list njt found. И программа не создает лог-файл (Fixlog.txt) и перезагрузка с отключенным KAV не происходит. Возможно надо закрыть все приложения?
Да, я разобрался, выполнил несколько минут была тишина и я думал уже писать,что проблема решена. Но после очистки кеша пошла опять переадресация на (offers.bycontext.com), а следом за ним Ad Muncher стал блокировать всплывающие окна..((( т.е. проблема - не решена. Отправляю вам лог. На 2 часа вынужден покинуть онлайн. Если это важно, то ругается пока на всплывающие окна только Ad Muncher, а KAV перестал докладывать о ежеминутных блокировках перенаправления...и светить критические адреса
- - - - -Добавлено - - - - -
Уважаемые хэлперы, поскольку, прежде чем создавать тему, я полистал форум и скачал десяток инструментов, которые вы наиболее часто рекомендуете пострадавшим, хотел бы выложить логи AdwCleaner (by Xplode):
R0-до выполнения скрипта AVZ от уважаемого thyrex;
R1-до выполнения фиксинга FRST от уважаемого Vvvyg;
R2-после всех рекомендованных хэлперами операций.
Проблема, к сожалению так и не решилась.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь, Mail.Ru точно можно оставить (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
+ сделайте новый лог virusinfo_syscheck.zip
Virusinfo - за чистый Интернет. Делай добро и бросай его в воду.
Скрипт-выполнил. Лог-прикреплен. FF стал чудить со 2 апреля после апгрейда до версии 36.0.4, не улучшилось положение и в 37-й версии. Штатный IE без нужды не пользую. Сейчас совершил несколько десятков переходов - вроде, нет в нем рекламы и редиректа. Выходит дыра - в Мозилле? Может ABP 2.6.9 глюкавый стал (я его тоже обновил как поперла реклама)?
После выполнения скрипта АВЗ всплывающих окон стало в Мозилле ощутимо меньше, но коренным образом проблема не решена. С надеждой смотрю на анализ образа загрузки...
В FF проблема не исчезает при отключении дополнений. Сделал в мозилле полный сброс на дефолтное состояние - эффекта нет. Вирус лишь задумался на какое-то время и снова попер.
В IE серфинг по прежнему, без рекламы происходит.
Последний раз редактировалось Andrew D; 07.04.2015 в 10:39.
выполнил сканирование FRST повторно.
Если это важно:
Trojan Remover с обновленной сегодня базой стал ругаться на "C:\Windows\SysWoW64\Drivers\utewmzq4.sys" как на /A file with this name *has* been found/
The file is louded by the following Registry key: "HKLM\SYSTEM\CurrentControlSet\Services\utewmzq4\" ImagePath"
=======================
мои действия?
Удалите Trojan Remover, совершенно бесполезная программа. Это он на драйвер AVZ возбудился.
Если отключение свежеустановленных расширений Adblock Plus и Classic Theme Restorer + очистка кэш и cookies-файлы браузеров не поможет - остаётся только полная переустановка FF с зачисткой профиля.
Переустановил ФФ с использованием утилиты MozBackup, с сохранением закладок и др. настроек профиля. При импорте из MozBackup в секции "Unknown files" все галочки снял по вашей рекомендации. Уже час-полет нормальный!
Уважаемые юзеры, будьте внимательны при поиске ссылок на данную утилиту, ибо в погоне за более свежей версией я едва не занес более серьезное заражение на свой ноут! Узнавайте у хэлперов ссылки на проверенные источники для скачивания работоспособных утилит!
- - - - -Добавлено - - - - -
Добавляю логи по просьбе хэлперов. Скан AdwCleaner проводился после удаления глюкавой версии ФФ, но-до установки новой с целью подчистки хвостов, если что...А FRST уже после установки и импорта старого профиля.
Последний раз редактировалось Andrew D; 07.04.2015 в 22:25.
Уважаемый(ая) Andrew D, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: