Всплывающие окна в браузере.

Printable View

12.05.2014, 11:20
sunsay84

Всплывающие окна в браузере.

Добрый день. В хроме начали всплывать рекламные окошки в виде аськи и вконтакте в любом окне. чуть позже стали вылазить по центру экрана кликабельные окошки с различной рекламой. не могу избавиться.
винда 7 х32.
спасибо.
12.05.2014, 11:22
Info_bot

Уважаемый(ая) [B]sunsay84[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
12.05.2014, 11:45
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Андрей\AppData\Roaming\mydive\vosst1.vbs','');
DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.url','32');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
DeleteFile('C:\Users\Андрей\AppData\Roaming\mydive\vosst1.vbs','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
DeleteFile('C:\Windows\Tasks\DSite.job','32');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
DeleteFile('C:\Windows\system32\Tasks\DSite','32');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GameCenterMailRu','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Praetorian','command');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yahoo Messengger');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','plug');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Пересоздайте ярлыки запуска браузеров на рабочем столе и панели быстрого запуска.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
12.05.2014, 12:11
sunsay84

выполнил скрипты. ситуация пока не изменилась в лучшую сторону. ниже логи.
12.05.2014, 12:31
Vvvyg

Выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Андрей\AppData\Roaming\mydive\vosst.bat','');
QuarantineFile('C:\Program Files\Gigabase\Guard\Guard.exe','');
DeleteFile('C:\Users\Андрей\AppData\Roaming\mydive\vosst.bat','32');
DeleteFile('C:\Program Files\Gigabase\Guard\Guard.exe','32');
DeleteFileMask('C:\Users\Андрей\AppData\Roaming\mydive','*',true);
DeleteFileMask('C:\Program Files\Gigabase','*',true);
DeleteDirectory('C:\Users\Андрей\AppData\Roaming\mydive');
DeleteDirectory('C:\Program Files\Gigabase');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится.

Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B], по окончании сканирования уберите следующие галочки, [B]если используете сервисы Mail.Ru и Яндекс[/B]:

на вкладке [B]Папки[/B]
[CODE]C:\Program Files\Mail.Ru
C:\Users\Андрей\AppData\Local\Mail.Ru
C:\Users\Андрей\AppData\Local\Yandex
C:\Users\Андрей\AppData\LocalLow\Yandex
C:\Users\Андрей\AppData\Roaming\Yandex[/CODE]

Затем нажмите [B]Очистить[/B] и по окончании удаления перезагрузите систему по требованию программы.

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и проверьте проблему.

Да, ярлыки браузеров пересоздали? Явно через них майнкрафт в хроме грузится...
12.05.2014, 13:02
sunsay84

Да, ярлыки пересоздал.. майнкрафт перестал вылазить.

сделал все по списку (пришлось подправить синтаксис в первом скрипте.. там кавычки и двоеточие непропечатались) - проблема осталась. Всплывающие окна лезут одни и те же
12.05.2014, 13:21
Vvvyg

Скачайте утилиту [URL=http://oldtimer.geekstogo.com/OTL.exe]OTL by OldTimer[/URL]. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

[B]Scan All Users[/B]
[B]Include 64Bit Scans[/B] - в случае 64-разрядной системы;
Output: [B]Minimal Output[/B];
File Scans: [B]Use Company-Name WhiteList[/B] и [B]Skip Microsoft Files[/B];
[B]Lop Check[/B];
[B]Purity Check[/B].

Остальные параметры оставьте по умолчанию и нажмите [B][COLOR="#0000CD"]Run Scan[/COLOR][/B]. По окончании сканирования программа создаст в той же папке, где находится она сама, два файла: [B]OTL.txt[/B] и [B]Extras.txt[/B]. Упакуйте их в архив и прикрепите к своему следующему сообщению.

В окне [B]File Age[/B] установите [B]30 days[/B]
Остальные параметры оставьте по умолчанию.
Скопируйте текст
[CODE]%USERPROFILE%\AppData\Local\*.url /S
%USERPROFILE%\AppData\Local\*.lnk /S
%PROGRAMFILES%\*.url /S
%PROGRAMFILES%\*.lnk /S[/CODE]
в окно [B]Custom Scans/Fixes [/B] и нажмите [B][COLOR="#0000CD"]Run Scan[/COLOR][/B].

После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.
12.05.2014, 15:35
sunsay84

воть
12.05.2014, 15:57
Vvvyg

Удалите программу Zona.

Отключите до перезагрузки антивирус, запустите OTL, скопируйте скрипт ниже в окно [B]Custom Scans/Fixes[/B], закройте все браузеры и нажмите [B]Run Fix[/B][CODE]:processes
C:\Program Files\Google\Chrome\Application\chrome.exe

:OTL
SRV - (Guard.Mail.ru) -- C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe File not found
IE - HKU\S-1-5-21-3275860548-571289577-1842363156-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: "URL" = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
IE - HKU\S-1-5-21-3275860548-571289577-1842363156-1000\..\SearchScopes\{DB487D2D-4D61-4423-B125-364BD6D2932F}: "URL" = http://gigabase.ru/search?source=web&q={searchTerms}
IE - HKU\S-1-5-21-3275860548-571289577-1842363156-1000\..\SearchScopes\0BA3E9580176A2532ED9950B37FFEF6D: "URL" = http://search.softonic.com/INF00176/tb_v1?q={searchTerms}&SearchSource=4&cc=&mi=aa2c5212000000000000e839df965e60&toi=16072&r=15
[2014.02.06 20:47:32 | 000,088,866 | ---- | M] () (No name found) -- C:\Users\Андрей\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\extensions\{D723D90A-8E67-11E3-81AA-43CE6088709B}.xpi
CHR - Extension: superpromokody = C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\jgnblgknonceobjdkepgodbolcpkgipk\3.5.3_0\
CHR - Extension: Vkontakte Music Downloader v2 = C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lceldhlmegkdiemkifahlijpnfpapjpf\2.3.1_0\
CHR - Extension: promokody = C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\obpjkecphechmoodhajjnggfpfmnclfc\3.0.3_0\
[2014.05.03 14:46:21 | 000,000,000 | ---D | C] -- C:\Users\Андрей\AppData\Local\Amigo
[2014.04.22 14:14:25 | 000,000,000 | -H-D | C] -- C:\Users\Андрей\AppData\Roaming\mydive
[2014.04.12 19:55:19 | 000,000,000 | ---D | C] -- C:\Users\Андрей\AppData\Roaming\newSI_2
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:44504F07

:Files

msexec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216030FF} /qn /quiet /c
msexec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217045FF} /qn /quiet /c
recycler /alldrives
ipconfig /flushdns /c

:Commands
[EMPTYTEMP]
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot][/CODE]
Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.

[NOTICE]Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Скачайте и установите [URL="http://www.java.com/ru/download/manual.jsp"]Java 7 Update 55[/URL]. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности.[/NOTICE]

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и проверьте проблему.
12.05.2014, 16:58
sunsay84

джаву еще не ставил. кидаю лог

в остальном все по старому. те же всплывающие окна.. постоянно открывающиеся левые странички (из-за этих окошек)

и кстати джава авто апдейтер запускается при старте системы (просит разрешения)
12.05.2014, 21:56
Vvvyg

Отключите в Хроме следующие расширения:

Bitmaster
CinemaLoad
Site navigation
rollApp File Opener

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы Chrome[/URL] и проверьте проблему.
13.05.2014, 11:32
sunsay84

удалил эти расширения, Ура! не вылазит ничего!! спасибо огромное за помощь!
13.05.2014, 11:53
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
13.05.2014, 12:39
sunsay84

Найдена одна уязвимость в адоб флеш плеер в ие. по ссылке установил! спасибо!
13.05.2014, 12:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]