# Форум на русском языке  > Помогите!  >  В браузерах Опера и Хром самопроизвольно открываются сайты с рекламой

## Кирилл Александров

Здравствуйте.

У меня на компьютере с недавних пор в браузерах Опера и Хром открываются или сами по себе новые вкладки с рекламными сайтами или когда нажимаю на ссылки на других (разных) сайтах.

Помогите пожалуйста.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Info_bot

Уважаемый(ая) *Кирилл Александров*, спасибо за обращение на наш форум! 

 Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

 Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

----------


## Vvvyg

Сделайте лог MiniToolBox при подключённом интернете.

Скачайте AdwCleaner (by Xplode) и сохраните его на 0рабочем столе. Запустите его (в Windows Vista/7 необходимо запускать по правой кнопке мыши *от имени администратора*), нажмите кнопку *"Search"* и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в файле *C:\AdwCleaner[R1].txt*. Прикрепите отчет к своему следующему сообщению.

----------


## Кирилл Александров

готово

----------


## Vvvyg

Запустите повторно *AdwCleaner (by Xplode)* (в ОС *Windows Vista/7* необходимо запускать  по правой кнопке мыши *от имени администратора*), нажмите кнопку *"Delete"* и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен как *C:\AdwCleaner[S1].txt*. Прикрепите отчет к своему следующему сообщению.
Внимание! Для успешного удаления может потребоваться перезагрузка компьютера.
Очистите кэш и cookies-файлы браузеров.
Проверьте, что с проблемой.

----------


## Кирилл Александров

Готово.
Delete сделал, куки почистил.
Проблема осталась.
Ранее проверялся комп Drweb CureIT и что-то удалил - {чего_то_там}.exe
Нужно было только куки или программой CCleaner тоже?

----------


## Vvvyg

И кэш, и куки, можно и в самом броузере.
Сделайте лог полного сканирования МВАМ.

----------


## Кирилл Александров

Готово

----------


## Vvvyg

Удалите в MBAM:

```
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_AVT-NET (Trojan.Agent) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Services\Avt-Net (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\User\DOWNLOADER_TMP_-1210063915 (PUP.Downware.RU) -> Действие не было предпринято.
C:\Documents and Settings\User\Desktop\wael_kfoury_-_law_hobna_ghalta.exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято.
C:\Documents and Settings\User\Desktop\Доступ ЗАПРЕЩЁН!!\krasivaya_muzika_-_dlya_tantsa_zhivota_get-tune_net.exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято.
C:\System Volume Information\_restore{6AC9584F-2CB7-48CC-99C0-AA7CAF75642C}\RP743\A0263030.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\System Volume Information\_restore{6AC9584F-2CB7-48CC-99C0-AA7CAF75642C}\RP765\A0272081.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\INST\Adobe Photoshop CS2 9 Rus\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Сборник\Музыка\tatosha_30748_rus.exe (Spyware.Banker) -> Действие не было предпринято.
```

Что с проблемой, проверьте после удаления и перезагрузки.

----------


## Кирилл Александров

Проблема осталась. На всякий случай почистил еще раз кэш и куки и все равно.
Может еще раз МВАМ сделать полный скан и выложить лог? Но это уже завтра т.к. у нас час ночи ((
Я так понимаю папка "C:\System Volume Information\" для восстановления системы и зловреды каким-то образом восстанавливаются оттуда или не все удаляются? Может отключить восстановление системы перед сканированием и удалением через МВАМ?

----------


## Vvvyg

System Volume Information не трогайте, вирусы, найденные MBAM неактивны.
Сделайте полный образ автозапуска uVS.
Приложите скриншоты одного-двух баннеров.

----------


## Кирилл Александров

Прикрепил лог.
Еще стало выскакивать окно активации при входе и работе в одноклассниках.
Сделал скриншоты. Пытался поймать момент когда происходит переход на рекламный сайт - на скриншотах помечено красными областями. Переходы происходят на разных сайтах. Просто заходишь на сайт, ходишь по нему по ссылкам или листаешь и один из моментов или пролистывания или кликания по одной из ссылок как бы страничка начинает грузиться нужная, а потом раз... и переход на рекламный сайт. Этото момент как раз заскриншотил - файлы screenshot3 и screenshot2 виден момент перехода на страничку из файла screenshot.

----------


## mrak74

Почитайте еще раз, внимательно как сделать *Сделайте полный образ автозапуска uVS*, то что прикрепили для анализа непригодно.

- - - Добавлено - - -

+ Выполните скрипт в AVZ:


```
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
  DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
 DeleteFileMask('C:\Program Files\pchd', '*', true);
 DeleteDirectory('C:\Program Files\pchd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
```

Ждём правильный лог uVS.

----------


## Кирилл Александров

на этот раз вроде как правильно сделал
скрипт выполнил - это от всплывающего окна в одноклассниках?

----------


## mrak74

Выполните скрипт в uVS Как выполнить скрипт в uVS


```
;uVS v3.77.1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://WEBALTA.RU
delref %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216012F0}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216032FF}
deltmp
restart
```

На запрос об удалении программ соглашайтесь.

Сделайте повторный лог uVS.

----------


## Кирилл Александров

готово.
в процессе было предложено деинсталлировать джава апдейт 6

----------


## mrak74

- Откройте файл *ScanVuln.txt*. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
 Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
 Перезагрузите компьютер.
 Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Что с проблемой ?

----------


## Кирилл Александров

Из ссылок сделал все кроме обновления ие (им не пользуются на компе), обнеовления где требуется лицензионная винда и обновление для офиса 2007 где требуется сп3 для офиса 2007.
критично ли это?
проблема осталась

----------


## Vvvyg

Обновляйте всё, если IE никто не пользуется, то не факт, что уязвимостями в нём нельзя воспользоваться для установки троянов.
Сделайте скриншоты пары всплывающих окон.
Сделайте новый полный образ автозапуска uVS.

----------


## Кирилл Александров

Вот лог авз после выполнения скрипта:



> Поиск критических уязвимостей
> Установите новый Internet Explorer
> http://windows.microsoft.com/ru-ru/i...er/download-ie
> 
> Несанкционированные цифровые сертификаты делают возможным подмену содержимого
> http://www.microsoft.com/ru-ru/downl....aspx?id=29975 (требуется лицензионный Windows) или
> http://download.microsoft.com/downlo...04-x86-RUS.exe
> 
> Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
> ...


1. ие не обновляет. ругается на что-то на английском и предлагает перезагрузиться, и затем на рабочем открыть созданную страничку с рекомендациями по устранению ошибок перед установкой.
вот ссылка - http://support.microsoft.com/gp/ie8_browserDetect
2. обновление для лиценз винды не ставится т.к. хочет сначала установить проверку винды, что, конечно же, не проходит )))
3. обновление сп3 для офиса не устанавливается - Не удалось выполнить обнаружение, вероятно, из-за повреждения базы данных установки.

скриншот открывающегося сайта и полный образ прилагаю

Думаю может уже формат цэ комплит :Sad:

----------


## Vvvyg

IE8 скачайте по ссылке http://yadi.sk/d/324Ddp4_50D6j и установите.
По п. 2 - там прямая ссылка на обновление, проверка подлинности не требуется для установки, скачивайте и накатывайте.
Java не полностью удалилась, возможно, из-за этого проблемы. Скачайте JavaRa 2.1, распакуйте, *закройте все браузеры*, запустите, нажмите "Remove Java Runtime", перезагрузите систему и сделайте для контроля новый полный образ автозапуска.

----------

*mrak74*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Кирилл Александров

Подскажите пожалуйста по п.2 прямую ссылку на английскую версию, а то винда англ с накатанным русским.
как все сделаю - отпишусь.

----------


## Vvvyg

http://download.microsoft.com/downlo...04-x86-ENU.exe

----------


## Кирилл Александров

> IE8 скачайте по ссылке http://yadi.sk/d/324Ddp4_50D6j и установите.


для русской винды. Есть ссылка для английской версии?

----------


## Vvvyg

У меня нет. Не найдёте сами, вечером поищу.

----------

*mrak74*

----------


## Кирилл Александров

*Vvvyg*, ие8 не могу что-то найти, п.2 установилось, Remove Java Runtime сделал удалив джаву, новую через эту программку не ставил, перегрузил. сп3 для офиса все равное не ставится с той же ошибкой. Нашел сп3 на диске zver-dvd - не ставится с той же ошибкой.
Странички продолжают появляться. Успел скриншот сделать в момент загрузки этой левой странички.
Скриншоты и полный образ прилагаю.
На скриншотах "Новый рисунок" - момент перехода, а "Новый рисунок(1)" - конечный адрес, который отображается в адресной строке когда эта страница загрузится (полный криншот в этом сообщении - http://virusinfo.info/showthread.php...=1#post1003274).
Замучил меня уже этот мужик, неужели никогда не избавлюсь.

----------


## Vvvyg

Всё равно хвост от Java болтается...
Обновите Opera до 12.15.
Выполните скрипт в AVZ:

```
begin
ExecuteWizard('SCU',2,2,true);
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
RebootWindows(false);
end.
```

После перезагрузки посмотрите, что с проблемой.

----------

*mrak74*

----------


## Кирилл Александров

Страницы продолжают открываться :Sad:

----------


## regist

Скачайте *Junkware Removal Tool by thisisu* отсюда и сохраните утилиту на _Рабочем столе_Закройте все программы, *временно* выгрузите антивирус, файрволл и прочее защитное ПО.Запустите утилиту (в ОС *Windows Vista/Seven* необходимо запускать через правую кн. мыши *от имени администратора*)Дождитесь окончания сканирования и удаленияПо завершению сканирования лог (*JRT.txt*) будет сохранен на _Рабочем столе_ и автоматически открыт в _Блокноте_.Прикрепите полученный лог _JRT.txt_ к своему следующему сообщению.

----------

Кирилл Александров

----------


## Кирилл Александров

сделано

----------


## regist

что с проблемой ?

----------


## Кирилл Александров

проблема осталась

----------


## regist

подключите другой компьютер к этому модему/точке подключения к сети и проверьте будет ли проблемы.

----------


## Кирилл Александров

роутер wi-fi. от него комп, который заражен, по кабелю получает инет. еще есть ноут, получающий инет по ви-фи. на нем заходили на те же сайты через те же браузеры в течении 30 мин. проблема не обнаружилась.

----------


## regist

скачайте какой-нибудь портативной браузер, например http://www.opera-usb.com/ и проверьте будет ли проблема там.

----------

Кирилл Александров

----------


## Кирилл Александров

скачали, разархивировали в папку на флешку, походили по тем же сайтам в течении получаса - проблема не появлялась.
как быть дальше?

----------


## Vvvyg

Удалите полностью Opera, вычистите профиль, т. е. папку

```
C:\Documents and Settings\User\Application Data\Opera
```

со всем содержимым, затем установите снова.

----------

Кирилл Александров

----------


## regist

> вычистите профиль, т. е. папку


удалять надо две папки Опера, вторая папка лежит в 


```
C:\Documents and Settings\UserName\Local Settings\Application Data\Opera\
```

----------

Кирилл Александров

----------


## Кирилл Александров

*Vvvyg*, 
*regist*, 
а можно сохранить из оперы закладки через Экспорт? не сохранится ли с ним вирус?
и что делать с Хромом где тоже самое происходит, тоже деинсталлировать?

----------


## Vvvyg

Проверьте пока на Опере, после полной переустановки проблема останется, или нет.

----------


## regist

> а можно сохранить из оперы закладки через Экспорт?


да можно.

- - - Добавлено - - -




> а можно сохранить из оперы закладки через Экспорт?


да можно.

----------

Кирилл Александров

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Кирилл Александров

удалил папки, оперу, установил новую. два вечера серфинга по сети - полет нормальный. сайт не открывается.
стОит ли еще походить день-другой по сайтам или уже в опере получается его убрали?
с хромом будем разбираться?

----------


## regist

> с хромом будем разбираться?


советую с хромом поступить аналогично - полностью удалить его вместе с профилем и установить заново. 

+ почитайте тему Chrome открывает вкладки с рекламой. Что делать?

отпишитесь о результатах.

----------

Кирилл Александров

----------


## Кирилл Александров

все сделал... вроде как полет нормальный, без этих сайтов.
спасибо.

----------


## regist

- Откройте файл *ScanVuln.txt*. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Советы и рекомендации после лечения компьютера

----------

