Подмена стандартных рекламных баннеров vk.com и взлом почты mail.ru

Здравствуйте.

Недавно на сайте vk.com обнаружил подмену рекламы: вместо обычных двух рекламок появляется длинный анимированный баннер с рекламой заработка в сети или онлайн игр или три блока рекламы сайтов знакомств, рецептов похудения и пр. После чистки CCleaner'ом проблема исчезала на несколько минут, потом снова появлялась. Точно так же стала появляться реклама в приложении ВКонтакте, причём абсолютно такой же баннер, как в приложении, вылез на одном из форумов, который я посетил в поисках решения проблемы. Но том форуме у пользователя была такая же проблема, как у меня, помочь ему не смогли, но он в итоге написал: "Проблему решил. Ничайно в ручную нашел в моих документах запрятаную папку Scripts, а там два js файла witkontakt.user и witPlugin.user. Удалил их и все ок. Странно что каспер не нашел их." - у меня такой папки не обнаружилось (если надо, могу скинуть ссылку на тему в том форуме). Сейчас даже после чистки CCleaner'ом баннеры подменяются сразу при входе в Контакт. Такое впечатление, что эта тварь за несколько дней подросла и возмужала.

Проблема с баннерами появляется только в опере. На компьютере установлено несколько браузеров (ставил, чтобы выбрать наиболее удобный): гугл-хром, яндекс-хром, мэйл-хром, firefox, safari, internet explorer (если его за браузер ещё считают) - с ними всё в порядке, все браузеры устанавливал примерно в одно время ещё в июне или июле.
C файлом hosts всё в порядке: буквы в имени файла на латинице, скрытых файлов в папке нет, полос прокрутки в файле нет, он коротенький и почти как стандартный, в конце одна строчка лишняя (может, и не лишняя, просто не помню, чтобы она там была), но она с комментарием, так что, безопасная:
# ::1 localhost

Всё это не так страшно, но потом выяснилось, что в мою почту на mail.ru заходит какое-то тело с липецким ip и свинячит в "Моём Мире" - наставил кучу статусов со ссылками и добавил фоток с рекламой сайтов для похудения, из-за чего "Мой Мир" меня заблокировал. Я сменил пароль и секретный вопрос с другого компьютера, с этого уже боюсь куда-то заходить. Пользуюсь менеджером паролей, сохранены были пароли к mail.ru, yandex.ru, qip.ru - взломана только почта на mail.ru (точнее, этот взлом я запалил, возможно, и другие взломаны, но я не знаю, как это определить).

На ноуте стоит Windows 8, из защиты - уже установленный Windows Defender. После обнаружения вирусной активности просканировал комп утилитой Dr.Web CureIt - ничего не нашёл.
Скачал Kaspersky Security Scan. Этот показал наличие уязвимостей в winamp и системном файле в папке sysWOW64 - обновил Winamp до последней версии и скачал патч MSXML 4.0 SP3 Parser, устраняющий зафиксированую проблему. Не помогло.
Скачал Kaspersky Virus Removal Tool. Этот выразил недовольство обозревателями кэша от NirSoft ([URL="http://www.nirsoft.net"]www.nirsoft.net[/URL]). Трогать их я не стал, они довольно давно у меня, ещё на другом ноуте с Windows XP их использовал, KIS на них тогда не ругался. Ничего не изменилось, баннеры всплывают...
Скачал kis14.0.0.4651. Этот также обратил внимание на продукцию Nirsoft и прогрмму для преобразования файла паролей Оперы в табличный вид. На всякий случай я их удалил. Ещё Каспер позаботился об удалении установочного файла Adobe Dreamweaver со встроенным патчем (или как там это называется) - программка записывала в hosts ip-адреса серверов Adobe. На этом всё - и баннеры всё ещё появляются.
Сделал полную проверку Каспером с максимально жёсткими настройками в безопасном режиме - ничего.

Вот такая печальная история. Помогите написать к ней счастливый конец :)

Уважаемый(ая) [B]kozar-sergey[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Сделал.

1. [LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR], нажмите на кнопку [B]"Scan"[/B], а по окончанию сканирования снимите галочки со следующих строк:

[code]
Folder Found C:\Users\Сергей\AppData\Local\Mail.Ru
[/code]
[*]Затем нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST][B]Внимание: [COLOR="Red"]Для успешного удаления может потребоваться [U]перезагрузка компьютера[/U]!!![/COLOR][/B]

2. Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Прошу прощения за задержку, у меня маленький ребёнок, пришлось отвлечься.
Всё сделал, как вы писали. Обратил внимание на запись, сделанную AVZ во время проверки:
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем

Отсутствие этого файла ntoskrnl.exe критично для работы ОС?
Пункты 5 и 6 - я не отключал проверку. Так и должно быть?

Это особенность работы AVZ на 64 разрядной системе.

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
O2 - BHO: Slick Savings - {34A0D84B-CDDC-4EC4-AFDD-4F1DDE1D14E5} - C:\Users\Сергей\AppData\Roaming\Slick Savings\Coupons.dll
[/CODE]

Сделайте новый лог HiJackThis

Сделайте лог MiniToolBox ([url]http://virusinfo.info/showthread.php?t=122524[/url])

AVZ, HijackThis и MiniToolBox запускал через контекстное меню проводника с правами администратора.
Указанная строка была, пофиксил. Вот новые логи.

Что с проблемой?

Проблем было две: с баннерами и с почтой. Только что закрыл все программы и браузеры, почистился CCleanr'ом, перезагрузился - баннеры как были, так и остались. На почту пока боюсь заходить с этого ноута, я так и не знаю, что произошло: у меня стырили файл паролей к Опере или я просто забыл нажать кнопку "Выйти" и этим воспользовались? Если второе - сменой пароя всё решилось, новый пароль я в Опере не запоминал (поскольку с ним ещё даже и не входил в почту). Если первое, то надо понять, зараза, которая стырила файл паролей, где? Если на компе её нет, то вопрос со взломом почты можно уже опустить, а если всё ещё на компе?
Спасибо за вашу помощь, Михаил. Что ещё можно предпринять, кроме встренного сервиса "Восстановления системы без удаления файлов"?

Проблема с рекламой наблюдается в каком-то одном браузере или во всех сразу?

Только в Опере, в других этой проблемы не было.

Михаил, я писал вначале, что на одном форуме пытались решить такую же проблему, и пользователь в итоге написал: "Проблему решил. Ничайно в ручную нашел в моих документах запрятаную папку Scripts, а там два js файла witkontakt.user и witPlugin.user. Удалил их и все ок. Странно что каспер не нашел их."

Так вот, у меня Windows 8 всего несколько месяцев, и я не особо в ней разобрался (точнее - вообще она меня бесит), в частности, поиск встроенной службой у меня вообще ничего не находит. Набираю Win+F, ввожу имя заведомо существующего на компьютере файла - и ничего. Видимо, алгоритм поиска другой, не такой, как в Windows XP. Если бы вы подсказали, как "по-старинке" искать файлы, может, я и нашёл бы те самые два js файла witkontakt.user и witPlugin.user, если они есть?

Отключите в браузере Опера временно все расширения. Проверьте проблему.

Оригинально... Стояло расширение Desktopy версия 1.1 от Desktopy LLC, после его отключения в Контакте появилась обычная реклама, этих анимированных баннеров больше нет, в приложении в Контакте баннеры тоже исчезли.
Спасибо вам огромное, Михаил, эту проблему, видимо, закрыли. У меня есть желание не только отключить это расширение, но и удалить его. Или вам нужна эта зловредина для изучения? Как быть с почтой? Пользоваться, как раньше, пока не появится подозрение в очередной краже?

Нет ее нужно удалить. Самое главное название теперь знаем. :)

На почте можете сменить пароли. А так можете всегда оформить новую заявку если будут какие нибудь подозрения на вирусы.

[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]

Удалить просто нажатием в браузере кнопки "Удалить"? Эта утилита, насколько я понял, удалением не занимается, верно?

Log-файл сканирования SecurityCheck прилагается.

1. Да нажатием на кнопку удалить.

2. Установите обновления.

Yandex v.25.0.1364.17262 [color=red][b]Внимание! [url=http://browser.yandex.ru/?from=cont_spec]Скачать обновления[/url][/b][/color]
Mozilla Firefox 22.0 (x86 ru) v.22.0 [color=red][b]Внимание! [url=http://www.mozilla.org/ru/firefox/fx]Скачать обновления[/url][/b][/color]

Удалил, обновления для браузеров установил.
На будущее: если я какими-то браузерами пользоваться точно не буду, их лучше удалить для большей безопасности?

Если их своевременно обновлять, то в принципе можно и не удалять их. Хотя с другой стороны если вы не используете какие нибудь сторонние браузеры, то их можно удалить.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Ясно. Спасибо вам за помощь, Михаил. Хорошо, что есть ещё такие люди :) Успехов вам!