Вирус рекламы в браузерах

[Vankivol]

Здравствуйте. После установки приложения (которое так и не установилось) начала лезть реклама во всех браузерах. После проверки различными антивирусами и подобными программами выплывающие баннеры стали выплывать но уже без рекламмы.

[Info_bot]

Уважаемый(ая) Vankivol, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.

Пожалуйста, обновите базы и сделайте новые логи.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


iLivid, datamngr деинсталируйте. Программы от mail.ru если не используете тоже.

[Vankivol]

Ссылка на карантин : http://virusinfo.info/virusdetector/...7E590F8FB2BF0B
Обновил программу, вот новые логи:

[regist]

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaninger\AdwCleaninger[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Vankivol]

Вот:

[regist]

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

[Vankivol]

Вот:

[regist]

что с проблемой?

[Vankivol]

Всё так же. Банер в нижнем-правом углу, сверху и при первом клике на другие сайты перекидывает. На сайтах типа ВКонтакте, Gmail и в гугловском поисковике нету рекламы этой, а на других лезет постоянно. То на страницу перекидывает, где пишет, что скачать надо "обновить Оперу" и выйти с этой страницы можно только через диспетчер задач...

[regist]

скачайте отсюда Оперу и проверьте проблему в ней.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Vankivol]

Оперу не переустанавливал , поскольку в Хроме тоже такая же фигня творится...

[regist]

Оперу не переустанавливал , поскольку в Хроме тоже такая же фигня творится...

переустанавливать не надо. По моей ссылке портативная версия. Скачайте её, проверьте проблему в ней и отпишитесь. Тем более у вас на самом деле под видом Оперы стоит Хром просто с красной иконкой О.

- - - - -Добавлено - - - - -

Код:

OPR Extension: (Vimeo™ Videos Downloader) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\dkcajioehopjiajmmiiajpomnjnikdhn [2015-04-06]
OPR Extension: (ВКонтакте.ру Downloader) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhicdenadipegbnnjbaojhjddgdmdhpd [2014-02-16]
OPR Extension: (Quick Searcher SNG) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\hjjhhjpmkehmlllljocpipoakobgffmk [2015-04-14]
OPR Extension: (Get Styles) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihokeeplplamiompchbagkgnoimcioac [2014-03-20]
OPR Extension: (Смена раскладки текста) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\kabpkbeiccigneapppjpgbjejeoknbco [2014-11-07]
OPR Extension: (µBlock) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\kccohkcpppjjkkjppopfnflnebibpida [2014-09-08]
OPR Extension: (Download Master) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\kjidkaoploafppfnkhodonjhlkedndaa [2014-10-10]
OPR Extension: (Стикеры ВКонтакте) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\lghkfbhcacicdhbpbkkfmeookkidfofm [2014-05-20]
OPR Extension: (SaveFrom.net помощник) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl [2014-10-14]
OPR Extension: (SaveFrom.net помощник) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2015-03-07]

Какие из этих расширений вам знакомы?


+Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:

start
CreateRestorePoint:
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: F - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: G - G:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {17e95a8d-b57a-11e1-815e-742f68d56491} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {17e95aae-b57a-11e1-815e-b964913abada} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {226fdb8e-2163-11e4-aeec-5404a6137807} - H:\autorun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {4d7799fd-cdc4-11e2-9054-5404a6137807} - F:\LaunchU3.exe -a
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {5d282531-3fe2-11e4-ad11-5404a6137807} - F:\Lenovo_Suite.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {668997e6-64dc-11e2-af2b-5404a6137807} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {6c8fb723-b44e-11e1-a4b9-742f68d56491} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {6c8fb731-b44e-11e1-a4b9-742f68d56491} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {6dee3d48-3e00-11e2-b6cc-742f68d56491} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {9a37df06-60e8-11e2-aff5-5404a6137807} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {9b6171d1-e5ea-11e1-b6f5-742f68d56491} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {a4d2b20b-e64c-11e1-be94-742f68d56491} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {a4d2b21a-e64c-11e1-be94-742f68d56491} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {bb5da84a-6c68-11e2-b5d8-5404a6137807} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {d5565064-6ee2-11e2-904f-5404a6137807} - H:\setup.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {d5ce2687-60e3-11e2-b495-5404a6137807} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {d5ce2694-60e3-11e2-b495-5404a6137807} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {e65f7165-3487-11e2-921e-742f68d56491} - F:\AutoRun.exe
HKU\S-1-5-21-3641894580-3250039981-3043715939-1000\...\MountPoints2: {e65f718a-3487-11e2-921e-a00684cf0ac6} - F:\AutoRun.exe
URLSearchHook: HKU\S-1-5-21-3641894580-3250039981-3043715939-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} -  No File
FF Extension: No Name - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\[email protected] [Not Found]
FF Extension: No Name - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\[email protected] [Not Found]
FF Extension: No Name - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\[email protected] [Not Found]
FF Extension: No Name - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha4250\ff [Not Found]
FF Extension: No Name - C:\Program Files\MediaViewerV1\MediaViewerV1alpha4912\ff [Not Found]
FF Extension: No Name - C:\Program Files\MediaViewV1\MediaViewV1alpha3603\ff [Not Found]
FF Extension: No Name - C:\Program Files\MediaViewV1\MediaViewV1alpha8806\ff [Not Found]
FF Extension: No Name - C:\Program Files\MediaWatchV1\MediaWatchV1home8578\ff [Not Found]
FF Extension: No Name - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha5088\ff [Not Found]
FF Extension: No Name - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta458\ff [Not Found]
FF Extension: No Name - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha489\ff [Not Found]
FF Extension: No Name - C:\Users\Had0uken\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{71238372-3743-33ab-8a9f-93722af74c97} [Not Found]
FF Extension: No Name - C:\Users\Had0uken\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{e53a26f5-7199-4a5b-86f5-d2e86854b979} [Not Found]
Task: {00977E16-A43A-4278-BB40-56414EA4F3B6} - \DealPlyLiveUpdateTaskMachineCore No Task File <==== ATTENTION
Task: {9A6AEA15-EEDB-4109-B57D-CB4665D18623} - \DealPlyLiveUpdateTaskMachineUA No Task File <==== ATTENTION
Task: {DABB7D5B-7061-42E0-92F0-E5B27422A2E1} - \DealPlyUpdate No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\Users\Had0uken\Local Settings:wa
AlternateDataStreams: C:\Users\Had0uken\AppData\Local:wa
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
MSCONFIG\Services: bonanzadealslive => 2
MSCONFIG\Services: bonanzadealslivem => 3
MSCONFIG\Services: dealplylive => 2
MSCONFIG\Services: dealplylivem => 3
MSCONFIG\Services: RelevantKnowledge => 2
MSCONFIG\startupreg: iLivid => "C:\Users\Had0uken\AppData\Local\iLivid\iLivid.exe" -autorun

EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Vankivol]

В портативной версии Оперы реклама не вылазит .
Не знакомо вот это расширение :
OPR Extension: (Quick Searcher SNG) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\hjjhhjpmkehmlllljocpipoakobgffmk [2015-04-14]
Вроде бы вот этот фаил был с вирусом: удалено
Пофиксил, всё так же...вот лог:

[regist]

Вроде бы вот этот фаил был с вирусом

Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

- - - - -Добавлено - - - - -

Не знакомо вот это расширение :
OPR Extension: (Quick Searcher SNG) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions

удалите его и проверьте проблему.

OPR Extension: (Vimeo™ Videos Downloader) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\dkcajioehopjiajmmiiajpomnjnikdhn [2015-04-06]

А это сами ставили?

[Vankivol]

Я не знаю, что произошло, но реклама больше не появляется
Спасибо Вам большое за помощь

[regist]

Я не знаю, что произошло, но реклама больше не появляется

как понимаю после этого?

Не знакомо вот это расширение :
OPR Extension: (Quick Searcher SNG) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\hjjhhjpmkehmlllljocpipoakobgffmk
удалите его и проверьте проблему.

И не ответили на вопрос

OPR Extension: (Vimeo™ Videos Downloader) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\dkcajioehopjiajmmiiajpomnjnikdhn [2015-04-06]

А это сами ставили?

- - - - -Добавлено - - - - -

+

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[Vankivol]

Судя по всему да, когда убрал вот это расширение : OPR Extension: (Quick Searcher SNG) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\hjjhhjpmkehmlllljocpipoakobgffmk
Но реклама была и вдругих браузерах, вот , что не понятно...


Вот это ставил сам : OPR Extension: (Vimeo™ Videos Downloader) - C:\Users\Had0uken\AppData\Roaming\Opera Software\Opera Stable\Extensions\dkcajioehopjiajmmiiajpomnjnikdhn [2015-04-06]