проблема в браузерах с рекламой newSI_10

Printable View

14.05.2014, 19:41
ritych

Вложений: 2

проблема в браузерах с рекламой newSI_10

Добрый день!
Проблема такая же как и в [url]http://virusinfo.info/showthread.php?t=159209[/url]
14.05.2014, 19:42
Info_bot

Уважаемый(ая) [B]ritych[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.05.2014, 10:06
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\newSI_10','command');
DeleteFileMask('C:\Users\Ritych\AppData\Roaming\newSI_10','*',true);
DeleteDirectory('C:\Users\Ritych\AppData\Roaming\newSI_10');
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(4);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Скачайте утилиту [URL=http://oldtimer.geekstogo.com/OTL.exe]OTL by OldTimer[/URL]. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

[B]Scan All Users[/B]
[B]Include 64Bit Scans[/B] - в случае 64-разрядной системы;
Output: [B]Minimal Output[/B];
File Scans: [B]Use Company-Name WhiteList[/B] и [B]Skip Microsoft Files[/B];
[B]Lop Check[/B];
[B]Purity Check[/B].

В окне [B]File Age[/B] установите [B]30 days[/B]
Остальные параметры оставьте по умолчанию.
Скопируйте текст
[CODE]%USERPROFILE%\AppData\Local\*.url /S
%USERPROFILE%\AppData\Local\*.lnk /S
%PROGRAMFILES%\*.url /S
%PROGRAMFILES%\*.lnk /S
%ProgramFiles(x86)%\*.lnk /S
%ProgramFiles(x86)%\*.url /S
%CommonProgramFiles%\*.*
%ALLUSERSPROFILE%\ntuser.pol
%SystemRoot%\System32\GroupPolicy\Machine\Registry.pol[/CODE]
в окно [B]Custom Scans/Fixes [/B] и нажмите [B][COLOR="#0000CD"]Run Scan[/COLOR][/B].

После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.
15.05.2014, 11:51
ritych

Вложений: 1

Почему то не создался файл EXTRAS.TXT
15.05.2014, 13:23
Vvvyg

Похоже, с проблемой уже справились.

Отключите до перезагрузки антивирус, запустите OTL (в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), скопируйте скрипт ниже в окно [B]Custom Scans/Fixes[/B], закройте все браузеры и нажмите [B]Run Fix[/B][CODE]:OTL
IE - HKU\S-1-5-21-4187100914-1196906532-4264939765-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: "URL" = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
[2014.04.28 16:05:11 | 004,327,208 | ---- | C] (Systweak Inc ) -- C:\rcpsetupst_RC1_ZZ_L_1.exe
[2014.05.14 14:04:23 | 000,000,045 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\chrome.url
[2014.05.14 14:04:23 | 000,000,045 | ---- | M] () -- C:\Program Files (x86)\Internet Explorer\iexplore.url
[2014.05.14 14:26:12 | 000,000,049 | ---- | M] () -- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\kl.url
[2014.05.14 14:04:23 | 000,000,045 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\firefox.url
@Alternate Data Stream - 151 bytes -> C:\ProgramData\TEMP:41ADDB8A
@Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:A064CECC

:Files

recycler /alldrives

:Commands
[EMPTYTEMP]
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot][/CODE]
Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.

Сообщите, что в данный момент беспокоит.
15.05.2014, 13:50
ritych

Вложений: 1

Беспокоит следующее:
при каждом включении ЛЮБОГО браузера открывается дополнительная вкладка с рекламой [url]http://не_могу[/url] успеть_запомнить/rotator.php
которая потом подгружает другую страницу с рекламой
15.05.2014, 14:33
Vvvyg

Пересоздайте ярлыки запуска браузеров на рабочем столе и панели быстрого запуска.
15.05.2014, 14:46
ritych

ОООО. Отлично
спасибо огромное
15.05.2014, 14:49
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
15.05.2014, 16:12
ritych

все равно, что-то меняет ярлыки
конкретно добавляет к ярлыкам созданным в меню пуск и "быстрой панели" "http://rugooglee.ru"
я пока запускаю напрямую из папки с браузерами.
Могу скинуть файлик который это все сделал, если интересно

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

все, по удалял, больше не добавляет
15.05.2014, 22:12
Vvvyg

Если не сложно, загрузите его в карантин по Приложениям 1 и 2 [URL="http://virusinfo.info/pravila.html"]правил[/URL].
16.05.2014, 11:35
ritych

Загрузил в карантин.
Ярлыки в Пуске и панели быстрого запуска все равно переписываются. Остаются нормальными только на рабочем столе
16.05.2014, 11:58
Vvvyg

Не пользуйтесь сайтом torrentino и программами оттуда.

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url], только программу скачайте [URL="http://yadi.sk/d/nRJyhDgrJNAGr"]отсюда[/URL].
16.05.2014, 13:12
ritych

Вложений: 1

да случайно я от туда скачал ((((
16.05.2014, 14:39
Vvvyg

Какой именно сайт прописывается?
16.05.2014, 14:48
ritych

"http://rugooglee.ru"
16.05.2014, 15:15
Vvvyg

Будем ловить гада.

Загрузите [URL="http://technet.microsoft.com/ru-ru/sysinternals/bb896645.aspx"][B]Process Monitor[/B][/URL]. Почистите ярлыки. Запустите программу. Меню [B]Filter[/B] -> [B]Filter...[/B], в строке [B]Display entries matching these conditions:[/B] [B]Path contains[/B] впечатываете [B]C:\Users\Ritych\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk[/B] then Include, далее Add, Apply и OK.
Когда в окне появятся записи, упоминающие этот ярлык, меню File -> Save..., выбираете Comma-Separated Values (CSV) и сохраняете. Полученный лог упакуйте в архив и во вложения.
16.05.2014, 15:25
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]