Всплывающая реклама в Google Chrome [Trojan.BAT.Agent.aly ]

Printable View

29.04.2014, 23:50
4ip4ik

Всплывающая реклама в Google Chrome [Trojan.BAT.Agent.aly ]

[COLOR=#333333]Здравствуйте, помогите пожалуйста. Всплывает реклама в Google Chrome в виде сообщения вконтакте и в верхнем правом углу заворачивается страница. Данная проблема только в хроме, остальные браузеры нормально работают.

[/COLOR]
29.04.2014, 23:52
Info_bot

Уважаемый(ая) [B]4ip4ik[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
30.04.2014, 09:38
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\sys32\drive.exe','');
QuarantineFile('C:\WINDOWS\driver.exe','');
QuarantineFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\SAVESE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\SAVESE~1\UPDATE~1\UPDATE~1.EXE','');
DeleteFile('C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\SAVESE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
DeleteFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\SAVESE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\At2.job','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\sys32\drive.exe','32');
DeleteFile('C:\WINDOWS\driver.exe','32');
DeleteFileMask('C:\DOCUME~1\NETWOR~1\APPLIC~1\SAVESE~1','*',true);
DeleteFileMask('C:\Program Files\SaveSenseLive','*',true);
DeleteDirectory('C:\DOCUME~1\NETWOR~1\APPLIC~1\SAVESE~1');
DeleteDirectory('C:\Program Files\SaveSenseLive');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
30.04.2014, 14:21
4ip4ik

Вот
30.04.2014, 15:30
Vvvyg

Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B], по окончании сканирования уберите следующие галочки, [B]если используете программы и сервисы Yandex и Mail.Ru[/B]:

на вкладке [B]Папки[/B]
[CODE]C:\Documents and Settings\Admin\Application Data\Yandex
C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru
C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex
C:\Program Files\Mail.Ru[/CODE]

Затем нажмите [B]Удалить[/B], по окончании процесса программа выдаст запрос на перезагрузку системы.

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и проверьте проблему.
30.04.2014, 19:12
4ip4ik

Страничка заворачивающееся пропала, появились сообщения как вконтакте и во всех браузерах загружаются разные начальные страницы. Что делать?
30.04.2014, 23:40
Vvvyg

Скачайте утилиту [URL=http://oldtimer.geekstogo.com/OTL.exe]OTL by OldTimer[/URL]. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

[B]Scan All Users[/B]
[B]Include 64Bit Scans[/B] - в случае 64-разрядной системы;
Output: [B]Minimal Output[/B];
File Scans: [B]Use Company-Name WhiteList[/B] и [B]Skip Microsoft Files[/B];
[B]Lop Check[/B];
[B]Purity Check[/B].

В окне [B]File Age[/B] установите [B]30 days[/B]
Остальные параметры оставьте по умолчанию.

Скопируйте текст:
[CODE]%USERPROFILE%\AppData\Local\*.url /S
%USERPROFILE%\AppData\Local\*.lnk /S
%PROGRAMFILES%\*.url /S
%PROGRAMFILES%\*.lnk /S
%ProgramFiles(x86)%\*.lnk /S
%ProgramFiles(x86)%\*.url /S
%ALLUSERSPROFILE%\ntuser.pol
%SystemRoot%\System32\GroupPolicy\Machine\Registry.pol[/CODE]

в окно [B]Custom Scans/Fixes [/B] и нажмите [B][COLOR="#0000CD"]Run Scan[/COLOR][/B].

По окончании сканирования программа создаст в той же папке, где находится она сама, два файла: [B]OTL.txt[/B] и [B]Extras.txt[/B]. Упакуйте их в архив и прикрепите к своему следующему сообщению.
01.05.2014, 00:05
4ip4ik

вот
01.05.2014, 00:12
Vvvyg

Недоступно вложение.
01.05.2014, 00:21
4ip4ik

перезалил
01.05.2014, 01:12
Vvvyg

Удалите программы:

Webexp Enhanced
Media Player
Media Viewer
Media View
Media Watch
SafeWeb

Отключите до перезагрузки антивирус, запустите OTL ([b]В случае, если у Вас Windows Vista или 7, программу нужно запускать от имени администратора, через контекстное меню (правой клавишей мыши по файлу) "Запуск от имени администратора"![/b]), скопируйте скрипт ниже в окно [B]Custom Scans/Fixes[/B], закройте все браузеры и нажмите [B][SIZE=5]Run Fix[/SIZE][/B][CODE]:OTL
IE - HKU\S-1-5-21-1482476501-573735546-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
IE - HKU\S-1-5-21-1482476501-573735546-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
IE - HKU\S-1-5-21-1482476501-573735546-1801674531-500\Software\Microsoft\Internet Explorer\SearchURL\y, = http://yandex.ru/yandsearch?win=101&clid=2071976&text=%s
IE - HKU\S-1-5-21-1482476501-573735546-1801674531-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: "URL" = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
IE - HKU\S-1-5-21-1482476501-573735546-1801674531-500\..\SearchScopes\{77F2B683-BFE4-4140-A5D5-3004C16E3A8F}: "URL" = http://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-ktqk&cof=FORID%3A10&ie=utf-8&q={searchTerms}&sa=%CF%EE%E8%F1%EA&siteurl=inet123.ru%2F#881
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]: C:\Program Files\VideoPlayerV3\VideoPlayerV3beta706\ff
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]: C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha39\ff
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]: C:\Program Files\MediaViewerV1\MediaViewerV1alpha59\ff
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]: C:\Program Files\MediaViewV1\MediaViewV1alpha1203\ff
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]: C:\Program Files\MediaViewV1\MediaViewV1alpha717\ff
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\[email protected]: C:\Program Files\MediaWatchV1\MediaWatchV1home641\ff
[2014.04.18 22:28:41 | 000,000,000 | ---D | M] (Charles Autoconfiguration) -- C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\ldicalfm.default\extensions\{3e9a3920-1b27-11da-8cd6-0800200c9a66}
[2014.04.12 20:17:41 | 002,298,147 | ---- | M] () (No name found) -- C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\ldicalfm.default\extensions\[email protected]
CHR - plugin: SaveSenseLive Update (Disabled) = C:\Program Files\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll
CHR - Extension: SafeWeb 0.2 = C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\fmnmlmllllehobcnjlggoeabfbhpaphg\0.1_0\
[2013.05.15 15:02:21 | 000,000,138 | ---- | C] () -- C:\WINDOWS\System32\operaprefs_fixed.ini
[2014.02.09 18:35:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Admin\Application Data\SafeWeb
[2014.04.29 21:15:37 | 000,000,047 | ---- | M] () -- C:\Program Files\Google\Chrome\Application\chrome.url
[2014.04.29 21:15:37 | 000,000,047 | ---- | M] () -- C:\Program Files\Internet Explorer\IEXPLORE.url
[2014.04.29 21:15:37 | 000,000,047 | ---- | M] () -- C:\Program Files\Mozilla Firefox\firefox.url
[2014.04.29 21:15:37 | 000,000,047 | ---- | M] () -- C:\Program Files\Opera\opera.url
@Alternate Data Stream - 151 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A
@Alternate Data Stream - 136 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC
[2014.03.22 23:27:11 | 000,001,250 | RHS- | M] () -- C:\Documents and Settings\All Users\ntuser.pol
[2014.03.22 23:27:04 | 000,000,972 | ---- | M] () -- C:\WINDOWS\System32\GroupPolicy\Machine\Registry.pol

:Files

recycler /alldrives

:Commands
[EMPTYTEMP]
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot][/CODE]
Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.

Пересоздайте ярлыки запуска браузеров на панели быстрого запуска и рабочем столе и проверьте проблему.
01.05.2014, 01:38
4ip4ik

лог во вложении, все сделал как написали, проблема вроде решена (завтра проверю уже точно). Огромное спасибо
01.05.2014, 01:45
Vvvyg

Запустите OTL и нажмите кнопку [B]CleanUp[/B].

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
01.05.2014, 11:07
4ip4ik

благодарю все проделал, проблема решена
01.05.2014, 12:11
Vvvyg

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
01.05.2014, 12:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\driver.exe - [B]Trojan.BAT.Agent.aly[/B] ( BitDefender: Trojan.Generic.11139060 )[/LIST][/LIST]