Симптомы:
Постоянно выскакивают окна с рекламой отдельным окном браузера, всплывающие окна с рекламой и предложениями проверки компьютера(диагностики), перенаправление на другие страницы рекламного характера. Ситуация касается любого запускаемого браузера.
Firefox часто блокирует всплывающие окна, но это не помогает. Eset Nod блокирует некоторые страницы, когда происходит редирект, но это слишком редко по сравнению с количеством переходов.
Попытки Лечения:
Антивирус Eset Nod и антивирусные утилиты доктор веб и касперского находили вирусы и нежелательное ПО, но удаление ничего не изменяло. Использовал Spy Hunter, тоже что-то находил. В какой-то момент времени после массовых проверок всем подряд реклама исчезла дня на 2. Затем появилась снова.
Удалял содержимое папки Temp, оставалось несколько используемых файлов, возможно какой-то из них вирус
Есть пару скринов появляющейся заразы, если необходимо могу выложить.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) miscali, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов:
Код:
8.8.8.8
8.8.4.4
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Администратор\local settings\application data\Pokki\Engine\Launcher.dll','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\be851b14\95a79358.dll','');
DeleteFile('C:\Documents and Settings\Администратор\local settings\application data\Pokki\Engine\Launcher.dll','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\be851b14\95a79358.dll','32');
DeleteFile('C:\WINDOWS\Tasks\{71AEDAF3-41EE-58D5-7300-12AA48B99A2E}.job','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pokki');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.
Здравствуйте. Выполнил выше перечисленные рекомендации. После перезагрузки компьютера и до выполнения AdwCleaner запустил Firefox и сразу же выскочили рекламные окна, несколько раз открывались новые вкладки и было несколько переадресаций с данной страницы.
Вот логи полученные далее:
Случайно добавил во вложения файл quarantine.zip . Добавил его по ссылке сверху.
Рекламное ПО выскакивало очень активно даже в окне по загрузке файлов.
Последний раз редактировалось thyrex; 12.03.2016 в 22:01.
Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Приключения вируса продолжаются. Может как-нибудь с очисткой кеша браузера совместить. А то у меня ощущение, что его удаляем, а он заново воскресает...
- - - - -Добавлено - - - - -
Минуту. Не узрел работу с AdwCleaner. Щас проделаю
- - - - -Добавлено - - - - -
Лог AdwCleaner
После перезагрузки включил браузер и всё повторилось на первой же странице
- - - - -Добавлено - - - - -
Очистил кеш Firefox,выключил браузер, запустил AdwCleaner, программа не нашла ничего. При запуске Firefox окна не выскакивали, как на долго не знаю
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
На данный момент проблема не проявляется. Приведенное выше сообщение выполню завтра. Есть ли смысл его делать, если проблема не проявляется? Что вы можете сказать про программу Spy Hunter? стоит ли ей пользоваться?
после выполнения на рабочем столе появиться файл sfc.txt, если есть какие-то проблемы то он не будет пустым.
1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.
2. Запустите DelFix. Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run.
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: