Рекламный вирус [not-a-virus:HEUR:WebToolbar.Win32.BetterInstaller.gen ]

Printable View

03.01.2013, 20:37
Роман Дяченко

Вложений: 2

Рекламный вирус [not-a-virus:HEUR:WebToolbar.Win32.BetterInstaller.gen ]

Собственно вирус рекламный например зайти на любой сайт и можно увидеть слова которые подчеркнуты при наводи на них всплывает банер с рекламой.
03.01.2013, 20:38
Info_bot

Уважаемый(ая) [B]Роман Дяченко[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
03.01.2013, 22:22
Роман Дяченко

Вложений: 1

Вот на скриншоте пример рекламы, она бывает под разными словами и разной рекламой, это не реклама сайтов, потому что на любом сайте может быть даже в google или yandex и только под самыми популярными словами. например ios, phone, android и тд.
03.01.2013, 22:52
mrak74

Здравствуйте !!!

Выполните скрипт в AVZ:
[CODE]begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.[/CODE]

Скачайте новую версию AVZ 4.39, обновите базы. - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
03.01.2013, 23:14
regist

+ Сделайте [url=http://virusinfo.info/showthread.php?t=115256]логи RSIT.[/url]
04.01.2013, 11:05
Роман Дяченко

Вложений: 2

Выполнил скрипт выше не помогло. Новые логи сделаю немного позже и обязательно загружу.

Мне кажется вирус появился после того как я искал мне нужный шрифт и скачал его на каком-то забугорном сайте и это не был шрифт а какая-то программа, но я ее запустил, в то время антивирус был у меня отключен. Вот ссылку нашел на ту программу: [I][SIZE=1]убрал[/SIZE][/I] мне кажется через нее ко мне попал вирус, но я могу и ошибаться.
[ATTENTION]не надо ссылки на зловредов оставлять!!![/ATTENTION]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

модератор удалил ссылку как теперь узнаете что за вирус?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

логи RSIT
04.01.2013, 11:34
regist

ProxyServer = 95.31.27.64:3128 сами прописывали ?

[quote="Роман Дяченко;956197"]удалил ссылку как теперь узнаете что за вирус?[/quote]
скиньте мне в личку.

[quote="mrak74;956133"]Скачайте новую версию AVZ 4.39, обновите базы. - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )[/quote]
где эти логи ?
04.01.2013, 12:42
Роман Дяченко

Вложений: 3

AVZ 4.39

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

ЛОГ

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

ProxyServer = 95.31.27.64:3128 сами прописывали ? ничего не прописывал
04.01.2013, 13:45
миднайт

В HiJackThis пофиксите:

[code]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 95.31.27.64:3128
[/code]

В AVZ выполните скрипт:

[code]
begin
ExecuteWizard('TSW',2,2,true);
end.
[/code]

[url="http://virusinfo.info/showthread.php?t=10025"]Очистите[/url] темп-папки, кэш проводников, cookies и корзину.

[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]

Что с проблемами?
04.01.2013, 15:20
Роман Дяченко

как профиксить в HiJackThis ?
04.01.2013, 15:25
mrak74

[URL="http://virusinfo.info/showthread.php?t=4491"]Что значит "пофиксить с помощью HijackThis"[/URL]
04.01.2013, 17:55
Роман Дяченко

Вложений: 1

знаете все равно есть вирус вот его html код:[URL="http://i.trkjmp.com/click?v=VUE6MzAzNTk6MTIxMDpnb29nbGU6NjQ5OWE4NzQxNzc4MmRlY2Q4YWEwMTM1ZWQ1NjZlNTE6ei0xMDYzLTEwMzE3Njp3d3cuY3ktcHIuY29tOjI2Njc0OjZmYmJiZmMzNjNjZGJmMmUxOWY3YzZmMjMyODA5ZWIy"]Google[/URL]

Все выполнил как вы описали но вирус опять появился. На скриншоте все видно.

[COLOR=silver]- - - Добавлено - - -[/COLOR]

вот код с исходника

<a title="Click to Continue > by Browse to Save" id="_GPLITA_1" style="text-decoration:underline" href="http://i.trkjmp.com/click?v=VUE6MzAzNTk6MTIxMDpnb29nbGU6NjQ5OWE4NzQxNzc4MmRlY2Q4YWEwMTM1ZWQ1NjZlNTE6ei0xMDYzLTEwMzE3Njp3d3cuY3ktcHIuY29tOjI2Njc0OjZmYmJiZmMzNjNjZGJmMmUxOWY3YzZmMjMyODA5ZWIy" in_rurl="http://i.trkjmp.com/click?v=VUE6MzAzNTk6MTIxMDpnb29nbGU6NjQ5OWE4NzQxNzc4MmRlY2Q4YWEwMTM1ZWQ1NjZlNTE6ei0xMDYzLTEwMzE3Njp3d3cuY3ktcHIuY29tOjI2Njc0OjZmYmJiZmMzNjNjZGJmMmUxOWY3YzZmMjMyODA5ZWIy" in_hdr="">www</a>
04.01.2013, 18:09
Роман Дяченко

Вложений: 1

вирус не пропал я все выполнил на скрине видно
04.01.2013, 19:12
миднайт

Повторите логи.
Сделайте лог полного сканирования [b][url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url][/b]
04.01.2013, 22:03
Роман Дяченко

Вложений: 2

Новый лог. Помогите пожалуйста

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Вот еще скриншот. Что же за вирусы такие? Решите пожалуйста мою проблему.
05.01.2013, 01:02
regist

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url]

[CODE]C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000570 (PUP.Downware.RU) -> No action taken.
C:\Users\Администратор\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KW2HTA11\50bf8c57a96f5[1].exe (PUP.FakePlug) -> No action taken.
C:\Users\Администратор\AppData\Local\Temp\downloader_tmp_-137498659 (PUP.Downware.RU) -> No action taken.
C:\Users\Администратор\AppData\Local\Temp\downloader_tmp_1407187903 (PUP.Downware.RU) -> No action taken.
C:\Users\Администратор\AppData\Local\Temp\{EFBEB2BB-8666-3384-D16F-CE44345D904D}\Addons\wxdownload_extension.exe (PUP.FakePlug) -> No action taken.[/CODE]

А также файлы
[CODE]C:\Windows\System32\Drivers.bat
C:\Windows\SysWOW64\Drivers.bat[/CODE]
вам знакомы ? откройте их блокнотом и скопируйте сюда их содержимое.

+ в интернет выходите через роутер ?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[URL="http://virusinfo.info/showthread.php?t=122524"]Сделайте лог MiniToolBox[/URL]
05.01.2013, 13:48
Роман Дяченко

Вложений: 1

Удалил все файлы которые были найдены как подозрительные в том числе и Drivers.bat, но все равно вирус не удалился.

Использую 3G модем от моб оператора

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Лог с MiniToolBox
05.01.2013, 18:04
regist

[quote="Роман Дяченко;956544"]Удалил все файлы которые были найдены как подозрительные[/quote]
[CODE]C:\Program Files (x86)\Microsoft Office\KMS\mKMSAct.exe [/CODE]
советую восстановить.

очистите куки и кэш браузеров
05.01.2013, 18:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\harabarabold_downloader_by_ffonts.exe - [B]not-a-virus:HEUR:WebToolbar.Win32.BetterInstaller.gen[/B] ( DrWEB: Adware.Somoto.8 )[/LIST][/LIST]