Браузер (любой запущенный в данный момент), периодически открывает рекламные вкладки.
Чаще всего это: orion.zerohorizon.net, oziris.zerohorizon.net, [удалено], и особо часто ptp24.com/promote.php?id=fb9a9b909e237b49be76aaa30d95d33a
Если ни 1 браузер не открыт, то открывается установленный по-умолчанию.
Заметил что гадость во вкладках открывается через процесс rundll32.exe
Ярлыки к браузерам прямые, без дополнительных св-в. (Хотя по-идее и не в них дело).
Process Explorer с включенной проверкой virustotal ничего не нашел.
Пробежал весь реестр на тему "start http" и "rundll32 url.dll", тоже ничего не нашел.
В планировщике заданий тоже не нашел.
Помогите, пожалуйста изловить заразу. Три месяца с ней борюсь, и уже не знаю куда копать.
Логи прилагаю.
P.S Hosts так отредактирован мной. Просто чтобы злоумышленник получил меньше реферальных.
P.P.S Встретить бы этого Luebeck557.......
Последний раз редактировалось thyrex; 26.01.2016 в 22:43.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Exorc, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Если проблема останется, отключите все установленные расширения для браузеров и проверьте проблему
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
P.S Может вы можете посоветовать какой-нибудь аналог диспетчера задач или process explorer который бы показывал, процессы не в реальном времени а сохранял момент запуска процесса. Потому что я успеваю увидеть что что-то запускается, но он тут же закрывается и через мгновение открывается рекламная вкладка.
В общем, победил я гада. Если вдруг кому любопытно (или кто из поисковых систем, с такой же проблемой). То вирусом оказался файл wermgr.exe находящийся по адресу C:\ProgramData\Microsoft\Windows\WER. Он маскируется под программу Windows Problem Reporting и полный правильный её адрес C:\Windows\System32\wermgr.exe. !!!Учтите папка C:\ProgramData\Microsoft\Windows\WER является рабочей папкой для настоящей программы wermgr и в ней ничего менять не стоит!!!
Что собственно делал вирус, он стучался по адресу "stats.ayeaye.arvixe.com" откуда скачивал зашифрованный файл manhattan.enc, и на его основании создавал файлик c расширением ini (в котором были те самые рекламные ссылки). Все это происходило в папке C:\Users\Имя_Пользователя\AppData\Local\Temp. После этого исполнял команду "rundll32 url.dll,FileProtocolHandler httpрекламная_ссылка*
Резюмирую кратко: если у вас на компьютере по адресу C:\ProgramData\Microsoft\Windows\WER есть программа wermgr.exe то просто удалите ее. Остальное не трогать!
Последний раз редактировалось Exorc; 10.02.2016 в 00:32.