adware в браузерах

Printable View

08.02.2012, 14:28
lupusb

Вложений: 3

adware в браузерах

Здравствуйте.
Прошу вашей помощи.
Ситуация такая - при заходе на какой-то сайт на днях попросили обновить flash player для правильного отображения контента. Я сдуру и обновил.
После обновления на месте обычных рекламных блоков стали показываться тизеры директ.адверт, которых раньше на этих местах не было - стоял или я-директ или медиатаргет.
Пользуюсь др.веб, на момент установки брандмауэр был отключен.
Запустил касперского, наловил 7 штук троянов. Думал, всё ок, но сегодня опять посторонняя реклама, некоторые сайты вообще смотреть невозможно.
Сейчас в процессах висит некий 8578920.exe, который завершаться не желает.
Не подскажете, где копать?
Заранее благодарю.
08.02.2012, 14:29
Info_bot

Уважаемый(ая) [B]lupusb[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
08.02.2012, 15:59
миднайт

Здравствуйте.
Сделайте лог полного сканирования [b][url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url][/b]
08.02.2012, 19:40
lupusb

Вложений: 1

Спасибо, сделал.
Процесс 8578920.exe оказался запущенным мной же KAV - пытался найти путь, куда он проинсталлировался, и посмотреть логи.

Иногда показывает тизеры, иногда что-то не срабатывает и на странице вылезает код такого вида:
[QUOTE](function() { /* Optional settings (these lines can be removed): */ subID = ""; // - local banner key; injectTo = ""; // - #id of html element (ex., "top-banner"). /* End settings block */ if(injectTo=="")injectTo="admitad_shuffle"+subID+Math.round(Math.random()*100000000); if(subID=='')subid_block=''; else subid_block='subid/'+subID+'/'; document.write('
'); var s = document.createElement('script'); s.type = 'text/javascript'; s.async = true; s.src = 'http://www.ad.admitad.com/shuffle/8a9e732274/'+subid_block+'?inject_to='+injectTo; var x = document.getElementsByTagName('script')[0]; x.parentNode.insertBefore(s, x); })();[/QUOTE]
08.02.2012, 20:51
миднайт

Ничего плохого в логе не видно. Возможно антивирус "шалит"?
08.02.2012, 21:11
lupusb

Вложений: 2

Точно не антивирус.
Смотрите как, например, газета ведомости отображается (рис. 1)
Или туризм на РБК (рис. 2)
Периодически со страниц перекидывает куда-нибудь на псевоответы.mail.ru
09.02.2012, 17:09
lupusb

Нет ни у кого версий? Запустил др. веба на ночь - отловил вирусы в папке кэша явы, kav про них умолчал.
Сейчас пока, вроде, без рекламы, но и вчера она тоже не сразу подгрузилась.
Брандмауэр блокирует процесс lsass.exe. Последний лежит в system32, подписан MS, целевой адрес raw/ip4.

UPD. adware вернулись, забавно получать порно popup, листая вирусинфо.
10.02.2012, 01:28
миднайт

Отключите антивирус. Повторите лог virusinfo_syscure.zip. Если не найдем в логе, будем руками убирать.
10.02.2012, 19:29
lupusb

Вложений: 1

Спасибо, сделал. На ночь ставил в безопасном режиме проверять др.веб - ничего не находит, обновил яву, предварительно удалив старую версию. Всё равно адваре, некоторые сайты смотреть просто невозможно - замена рекламы в улвоенном объёме. Через раз выскакивают попапы.

Да, lsass.exe лочится брандмауэром всё также, а пару раз вылезала настройка удалённого доступа на ровном месте. Др.веб из процессов до конца не убивается, пришлось удалить для выполнения сканирования, которое вы запросили.
11.02.2012, 22:29
lupusb

Банндмауэр заругался на системный процесс, называемый просто SYSTEM, пути к приложению и файлу никакого не указано. Создал ему правило "запрещать всё", система работает нормально, адваре тоже поживают неплохо. На некоторых попапах выскакивают вирусы, что совсем не радует.

Ни у кого нет идей? У меня лишь одна - формат ц и переустановка виндовз)
11.02.2012, 23:03
Techno

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в AVZ[/URL] скрипт из файла [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]
- Откройте файл [B]avz_log.txt[/B] из под-папки [B]LOG[/B].
- Пройдитесь по ссылкам из файла [B]avz_log.txt[/B] и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

- [URL="http://virusinfo.info/showthread.php?t=58309"]Сделайте лог ComboFix[/URL].
12.02.2012, 00:06
lupusb

Вложений: 1

Спасибо, выполнил.
По первому:
Поиск критических уязвимостей
Часто используемые уязвимости не обнаружены

Комбофикс лог в аттаче.
Как я понимаю, он что-то удалил, но аддваре остались.
Да, он там что-то связанное с адобом нашёл, инсталляция, которую я сдуру установил, и после чего проблемы начались, тоже каким-то адобом обзывалась.