-
Junior Member
- Вес репутации
- 38
Открытие сторонних вкладок в браузере, запуск установки браузеров и автоматическая их установка [not-a-virus:AdWare.Win32.PriceGong.a, not-a-virus:AdWare.Win32.ConvertAd.wgr
]
При работе на компьютере время от времени запускается установка браузеров Crossbrowser, Opera или обновления Windows(хотя установка обновления обычно выглядела не так + на компьютере установлены все последние обновления). Иногда они требуют участия пользователя(нажмите далее и т.д.), но часто браузеры устанавливаются моментально(либо в фоновом режиме) и запускают свое окно(одновременно закрывая открытое окно браузера, google chrome в моем случае). Также, при работе в браузере при переходам по гиперссылкам(либо элементам, содержащим гиперссылки), переход не осуществляется, а открывается новая вкладка с какими-то рекламными сайтами или поисковиками. И наконец, при запуске браузера открывается не пустая вкладка(как установлено), а какие то рекламные страницы. Прошу помочь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) kpiok, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте !!!
отключите антивирусную программу
Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
O4 - HKLM\..\Run: [gmsd_ru_005010089] "C:\Program Files\gmsd_ru_005010089\gmsd_ru_005010089.exe"
O4 - Startup: SmartWeb.lnk = C:\Users\kukin_ra\AppData\Local\SmartWeb\SmartWebHelper.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\be722a00-1442470379-11e2-995c-8851fb6d882f\knso9433.tmp');
StopService('lexyfofi');
QuarantineFile('C:\Users\kukin_ra\appdata\local\smartweb\__u.exe','');
QuarantineFile('C:\Users\kukin_ra\appdata\local\smartweb\swhk.dll','');
QuarantineFile('C:\Users\kukin_ra\appdata\local\smartweb\smartwebapp.exe','');
QuarantineFile('C:\Users\kukin_ra\AppData\Roaming\WindowsUpdater\Updater.exe','');
QuarantineFile('C:\Program Files\LIS\lis.exe','');
QuarantineFile('C:\ProgramData\Browsers\browser0.bat','');
QuarantineFile('C:\Program Files\gmsd_ru_005010089\gmsd_ru_005010089.exe','');
QuarantineFile('c:\program files\be722a00-1442470379-11e2-995c-8851fb6d882f\knso9433.tmp','');
DeleteFile('C:\Users\kukin_ra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk');
DeleteFile('C:\Program Files\BE722A00-1442470379-11E2-995C-8851FB6D882F\knso9433.tmp','32');
DeleteFile('C:\Program Files\gmsd_ru_005010089\gmsd_ru_005010089.exe','32');
DeleteFile('C:\Users\kukin_ra\AppData\Roaming\WindowsUpdater\Updater.exe','32');
DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','32');
DeleteFile('C:\Users\kukin_ra\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('C:\Users\kukin_ra\appdata\local\smartweb\swhk.dll','32');
DeleteFile('C:\Users\kukin_ra\appdata\local\smartweb\__u.exe','32');
DeleteFile('C:\Users\kukin_ra\appdata\roaming\windowsupdater\updater.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010089');
DeleteService('lexyfofi');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 38
Выполнил действия из предыдущего поста, файл запрошенный загрузил в карантин по ссылке вверху темы. Относительно программ - вроде не устанавливается ничего лишнего теперь, зато в браузере в разы чаще стали вылезать всякие посторонние окна + печально известный yxo.warmportrait.com открывается
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\programdata\8wdsmanpro8\wdsmanpro.exe');
StopService('WdsManPro');
QuarantineFile('C:\Users\kukin_ra\appdata\local\smartweb\smartwebhelper.exe','');
QuarantineFile('c:\programdata\8wdsmanpro8\wdsmanpro.exe','');
DeleteFile('C:\ProgramData\8WdsManPro8\WdsManPro.exe','32');
DeleteFile('C:\Program Files\gmsd_ru_005010090\gmsd_ru_005010090.exe','32');
DeleteFile('C:\Users\kukin_ra\appdata\local\smartweb\smartwebhelper.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010090');
DeleteService('WdsManPro');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 38
Выполнил действия, указанные в предыдущем посте. К сожалению, сначала ваше сообщение было без пункта "выполните скрипт в AVZ"(насколько я видел), поэтому выполнил процедуру с ADW и FRST 2 раза(выполнил, потом увидел скрипт, удалил программы и отчеты, выполнил скрипт, скачал программы и выполнил еще раз), с FRST 2 файла получились, а вот файл отчета ADW называется чуть по другому, чем в вашем сообщении. Но я думаю, ничего страшного не случилось
-
Сообщение от
kpiok
К сожалению, сначала ваше сообщение было без пункта "выполните скрипт в AVZ"(насколько я видел)
Все верно. Я не доглядел, поправлял сообщение.
Сообщение от
kpiok
Но я думаю, ничего страшного не случилось
Все нормально.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
SearchScopes: HKU\S-1-5-21-1177238915-789336058-682003330-25351 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=blackbear13
SearchScopes: HKU\S-1-5-21-1177238915-789336058-682003330-25351 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=blackbear13
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1441722203&z=df5c4e75ee3a8cc2cec4e5agdz0zcg6m1oaobo0e0o&from=eit&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2EFH4045840458
CHR Extension: (CinemaP-1.9cV17.09) - C:\Users\kukin_ra\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi [2015-09-17]
CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.istartsurf.com/?type=sc&ts=1442566711&z=d489469ab6919fb7e262737g9zfz5oewaqbqdwdzez&from=face&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2EFH4045840458
EmptyTemp:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 38
Результат выполненных действий. Google chrome "сломался", пришлось удалить и установить заново, в IE все равно наблюдаются посторонние вкладки при запуске(хотя начальную страницу ставлю пустую)
-
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 38
-
Выполните скрипт в uVS Как выполнить скрипт в uVS
Код:
;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\KUKIN_RA\APPDATA\LOCAL\TEMP\AMISETUP1660__11947.EXE
delref %SystemDrive%\USERS\KUKIN_RA\APPDATA\LOCAL\TEMP\AMISETUP5404__13749.EXE
delref %SystemDrive%\USERS\KUKIN_RA\APPDATA\LOCAL\TEMP\AMISETUP9398__13749.EXE
zoo %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER6.BAT
delall %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER6.BAT
delref %SystemDrive%\USERS\KUKIN_RA\APPDATA\LOCAL\TEMP\{E9513610-F218-4DDA-B954-2C7E6BA7CABB}\IDRIVER.NONELEVATED.EXE
delall %SystemDrive%\USERS\KUKIN_RA\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTERNET EXPLORER.LNK
delref %SystemDrive%\USERS\KUKIN_RA\APPDATA\LOCAL\TEMP\WINDOWSUPDATEKB12695__7428_IL310451.EXE
zoo %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\45.0.2454.93\RESOURCES.PAK
zoo %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER0.BAT
delall %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER0.BAT
deltmp
regt 28
restart
czoo
Сделайте новый полный образ автозапуска uVS. Если не будет хватать места для вложений на форуме, закачайте образ на файлообменник http://rghost.ru/ ссылку с результатом загрузки опубликуйте в следующем сообщении.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 38
Выполнил скрипт, сделал снова полный образ автозапуска, вот ссылка http://rghost.ru/8yYKTkqhh
P.S. после выполнения скрипта появился архив ZOO_...., не пустой, прикреплять ли его? В инструкции "как выполнить скрипт в UVS" сказано, что его надо прислать по ссылке "прислать запрошенный карантин", но у меня не получилось, ругается на расширение архива(доступно для загрузки только .zip)
-
Обойдемся без карантина.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Что с проблемой ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 38
Выполнил скрипт, в логе было 3 ссылки (IE, MSMXL, Java), все установил и перезагрузил компьютер.
Выполнил скрипт снова, нового файла лога не было создано, но результат в AVZ отображается не совсем корректно - вместо сообщения, в появляющемся текстбоксе много знаков вопроса(примерно выглядит ?????? ??????????? ?? ??????). Я думаю, это проблема кодировки и там скорее всего написано, что уязвимостей не найдено.
По проблемам: в IE теперь все в порядке, никаких "левых" страниц, начальная страница грузится, как выставлено в настройках. В google chrome пока тоже не удалось обнаружить каких-либо отклонений. Посторонние программы(opera, crossbrowser) больше не устанавливаются.
-
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\users\kukin_ra\appdata\local\smartweb\smartweba pp.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )
- c:\users\kukin_ra\appdata\local\smartweb\swhk.dll - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845, AVAST4: Win32:BHO-AOK [Adw] )
-