Printable View
Здравствуйте!
На домашнем компьютере "совместного использования" под игры и торренты дня два назад в браузерах (IE, FF, Chrom) стали открываться паразитные рекламные ссылки.
По времени совпало с тем, что я разбирался с роутером домашней сети, открывал порты, а на компьютере играли.
Не критично, но хорошо бы почиститься.
Спасибо.
Уважаемый(ая) [B]behemothus[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\behempthus\AppData\Local\SearchGo\searchgo.exe','');
QuarantineFile('C:\Users\behempthus\AppData\Local\PowerMonitor\PowerMonitor.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\CAF707FD-FF95-4740-B947-44B3C20259E5.exe','');
QuarantineFile('C:\Users\behempthus\AppData\Local\fupdate\fupdate.exe','');
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
DeleteFile('C:\Users\behempthus\AppData\Local\fupdate\fupdate.exe','32');
DeleteFile('C:\Windows\system32\Tasks\fupdate','64');
DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\CAF707FD-FF95-4740-B947-44B3C20259E5.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\AAAA32712-1C21-4812-83EA-56E37BDDBF4A','64');
DeleteFile('C:\Users\behempthus\AppData\Local\PowerMonitor\PowerMonitor.exe','32');
DeleteFile('C:\Users\behempthus\AppData\Local\SearchGo\searchgo.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SearchGo Task','64');
DeleteFile('C:\Windows\system32\Tasks\PowerMonitor','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][COLOR="Red"]Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи[/COLOR][/B]
Карантин получился только со второй попытки. (Первый раз сформировался пустой, 22 байта).
Загрузил
[QUOTE]Результат загрузки
Файл сохранён как 161021_040343_quarantine_5809696fada74.zip
Размер файла 644
MD5 30ed8e3f047a8a4419ef1b5fed88a714
Файл закачан, спасибо!
[/QUOTE]
Логи сейчас сделаю.
Готово.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Есть такое.
(и, похоже, не зря)
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
AutoConfigURL: [S-1-5-21-2235888225-99421405-1672068816-1001] => hxxp://noneblock.org/wpad.dat?d62a85d98932035fc2bc1007c8d866f118385981
ManualProxies: 0hxxp://noneblock.org/wpad.dat?d62a85d98932035fc2bc1007c8d866f118385981
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\71d2w4w9.default -> GoSearch
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\71d2w4w9.default -> GoSearch
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\371399084.js [2016-10-17] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\371399084.cfg [2016-10-17] <==== ATTENTION
CHR DefaultSearchKeyword: Default -> gosearch
CHR Extension: (The Safe Surfing) - C:\Users\behempthus\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-07-04]
CHR Extension: (Chrome Media Router) - C:\Users\behempthus\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-09-27]
CHR HKU\S-1-5-21-2235888225-99421405-1672068816-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X]
C:\Users\behempthus\AppData\Local\Temp\d62f-b804-287c-10ed.exe
Task: {1F28816A-48D5-49D9-A16A-6D0B075D64C5} - \fupdate -> No File <==== ATTENTION
Task: {371264AF-8851-4CEF-988A-10F2C27D7D01} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
Task: {4370F192-C522-4B8A-9B18-2B2A9ADD932A} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2016-05-03] (Enigma Software Group USA, LLC.)
Task: {7779635B-524A-4F2E-8F7B-FEE52AC22FAF} - \SearchGo Task -> No File <==== ATTENTION
Task: {9651C34B-2E50-42CE-B6B6-05F931FB40D8} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {9D70C15D-7F63-43BD-977C-657EB03BB929} - \PowerMonitor -> No File <==== ATTENTION
Task: {B0E5BD27-AE11-4A0D-B2C8-3E054196D54A} - \Kinoroom Browser -> No File <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
готово
Жду ответа, как соловей лета.
Что с проблемой?
Так ничего пока не изменилось. Реклама вылезает исправно. Может, чуть поменьше, я не засекал, но вот как на новый сайт зайду после полуночи - сразу лезет зараза.
Отключите ВСЕ установленные расширения для браузеров и проверьте проблему после перезагрузки
Сделал, пока реклама не всплывала.
В опциях поиска FF опять появился паразитный GoSearch, я его несколько раз оттуда удалял, ну и опять удалил.
Пока всё. Чтобы плотно потестировать, мне нужно время до понедельника.
Теперь по одному включайте расширения и найдете виновника. Сообщите нам его имя, а само расширение удалите
[QUOTE=thyrex;1410742]Теперь по одному включайте расширения и найдете виновника. Сообщите нам его имя, а само расширение удалите[/QUOTE]
Я вас понял, сделаю. но на это уйдет много времени, эта зараза ведь появлялась очень нечасто.
Докладываю. Поймать ничего не могу. Включены все расширения.
Наверное, пора поблагодарить и извинится, что не сделал этого раньше.
Но в пятницу-то реклама еще лезла после лечения, я не придумываю.
Спасибо, короче.
Вот только что вылезла реклама в FF. В неактивном окошке, когда и как - не заметил сразу, но стал дико тормозить интернет...
Расширения включены
ADB HELPER
Valence
Video ADBlock
(откуда и зачем они у меня стоят - не припомню уже)
Поймать конкретный - нереально, это ж опять неделю ждать.
И несколько плагинов.
Сделайте [URL="http://virusinfo.info/showthread.php?t=146192"]лог AdwCleaner[/URL]
Есть
Отметьте и удалите все найденное