Реклама в браузере Chrome [Trojan.MSIL.VKInject.b ]

Printable View

04.08.2014, 12:32
AndreyValK

Вложений: 3

Реклама в браузере Chrome [Trojan.MSIL.VKInject.b ]

Здравствуйте!
Подцепил вирус. Скачивал музыку с Интернета и прописалась программка-спам. В окнах выскакивает реклама и запускаются новые вкладки с рекламой.
04.08.2014, 12:33
Info_bot

Уважаемый(ая) [B]AndreyValK[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
04.08.2014, 14:07
Макcим

Выполните скрипт в AVZ[QUOTE]begin
ExecuteWizard('TSW',2,3,true);
end.[/QUOTE]

Проверьте файлы из списка на [URL="https://www.virustotal.com/"]VirusTotal[/URL].
[CODE]C:\Users\Public\Documents\Stach\Fraps.exe
C:\Users\user\Downloads\vcredist_x64.exe[/CODE]
Кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowserLnk[/URL].

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Проверьте настройки DNS на ПК и в роутере.
04.08.2014, 18:41
AndreyValK

Вложений: 2

1) Скрипт выполнил
2) Файлы проверить не могу, т.к. на компе их не нахожу
3) Отчет ниже

В Хроме в Настройки-Расширения постоянно прописывается программа Bitti-Bit 1.1.1
Bit музыки VKontakte.
Я её отключаю и удаляю, но при следующем запуске она снова есть в настройках. Она и способствует запуску рекламы и баннеров.
04.08.2014, 19:09
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\Users\Public\Documents\Stach\Fraps.exe','');
QuarantineFile('C:\Users\user\Downloads\vcredist_x64.exe','');
QuarantineFile('C:\Windows\System32\roboot64.exe','');
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.[/CODE]Загрузите файл virus.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" вверху темы.

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё).
04.08.2014, 20:41
AndreyValK

Вложений: 1

1) Скрипт выполнил. (без ошибок)
2) Файл загрузил. Подтверждение:
Файл сохранён как 140804_163619_virus_53dfb6838096d.zip
Размер файла 16125
MD5 49ecff43739d2d3e4915a1db6e148380
3) Удаление сделал

Проблема не решена ((((
04.08.2014, 22:57
regist

[QUOTE]Fraps.exe - Trojan.MSIL.VKInject.b

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.[/QUOTE]
Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('C:\Users\Public\Documents\Stach\Fraps.exe');
QuarantineFileF('C:\Users\Public\Documents\Stach\','*.exe, *.dll', false,'',0 ,0);
DeleteFile('C:\Users\Public\Documents\Stach\Fraps.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Stach');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DATAMNGR','command');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- - Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

[URL="http://www.opera-usb.com/ru/"]скачайте отсюда Оперу[/URL] и проверьте проблему в ней.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

+ вы из Белоруссии?
04.08.2014, 23:58
AndreyValK

1) Скрипты выполнил, карантин отправил.
2) Проверил работу в Хроме, IE, Опере -- вроде всё ОК. Программа Bitti-Bit в расширениях не появляется.. реклама не выскакивает.
3) да... из Беларуси
4) не могу прикрепить лог МВАМ -- после сканирования ничего не появляется с предложением сохранить. Сообщает только о удачном сканировании и отсутствии проблем.
05.08.2014, 09:50
regist

1) [quote="AndreyValK;1144606"]Сообщает только о удачном сканировании и отсутствии проблем.[/quote]
деинсталируйте тогда MBAM.

2) Посмотрите что находится в папке
[CODE]C:\Users\Public\Documents\Stach[/CODE]
05.08.2014, 11:01
AndreyValK

[QUOTE=regist;1144645]1)
деинсталируйте тогда MBAM.

2) Посмотрите что находится в папке
[CODE]C:\Users\Public\Documents\Stach[/CODE][/QUOTE]

Текстовые файлы, файлы сценария, рисунки, приложение Frame.... и все это связано с этой рекламной программой, т.к. в текстовом файле (Word) указывается на правила использования программы BittyBit...
Удалил папку Stach
05.08.2014, 11:24
regist

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
05.08.2014, 11:31
AndreyValK

Уязвимостей не найдено, кроме необходимости обновить IE.
Проблема решена. Спасибо за помощь.
05.08.2014, 11:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]