При работе с браузером открываются дополнительные вкладки [Trojan-Banker.Win32.Capper.n ]

Здравствуйте!

При работе с браузерами на всех сайтах при любом клике стали открываться новые вкладки. Вроде бы это всегда сайт tvigle.ru
Пользуемся IE, хромом и оперой.
ПК проверили Dr.Web и AVPTool, проблема осталась.

Пожалуйста, помогите :)

Уважаемый(ая) [B]off-top[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
ClearHostsFile;
end.
[/CODE]

Выполните скрипт в AVZ отсюда:
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] и убедитесь, что обновления установились.

Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.

Сделано.

AVZ запускали от имени администратора, как по ссылке в скобках?
Если нет, попробуйте еще раз этот же скрипт от имени администратора и сделайте повторный лог.

Вроде да.. но на всякий случай сделали еще раз.
А, и обратили внимание, что не только на тот сайт ведут рекламные ссылки, который указали в первом топике, на другие тоже. Не знаю, важно ли это..

HijackThis запустите от имени администратора.
Пофиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
O1 - Hosts: 217.73.57.92 userapi.com
O1 - Hosts: 217.73.57.92 st0.userapi.com
O1 - Hosts: 217.73.57.92 st1.userapi.com
O1 - Hosts: 217.73.57.92 st2.userapi.com
O1 - Hosts: 217.73.57.92 st3.userapi.com
O1 - Hosts: 217.73.57.92 st4.userapi.com
O1 - Hosts: 217.73.57.92 st5.userapi.com
O1 - Hosts: 217.73.57.92 st6.userapi.com
O1 - Hosts: 217.73.57.92 st7.userapi.com
O1 - Hosts: 217.73.57.92 st8.userapi.com
O1 - Hosts: 217.73.57.92 st9.userapi.com
O1 - Hosts: 217.73.57.92 stg.odnoklassniki.ru
O1 - Hosts: 217.73.57.92 img0.imgsmail.ru
O1 - Hosts: 217.73.57.92 img1.imgsmail.ru
O1 - Hosts: 217.73.57.92 img2.imgsmail.ru
O1 - Hosts: 217.73.57.92 img3.imgsmail.ru
O1 - Hosts: 217.73.57.92 img4.imgsmail.ru
O1 - Hosts: 217.73.57.92 img5.imgsmail.ru
O1 - Hosts: 217.73.57.92 img6.imgsmail.ru
O1 - Hosts: 217.73.57.92 img7.imgsmail.ru
O1 - Hosts: 217.73.57.92 img8.imgsmail.ru
O1 - Hosts: 217.73.57.92 img9.imgsmail.ru

[/CODE]

Перезагрузите компьютер.

Сделайте заново лог HijackThis (пункт 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.

При подключенном интернете выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
ClearQuarantine;
ExecuteAVUpdate;
ExecuteStdScr(4);
end.
[/CODE]

Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке:
[url]http://virusinfo.info/upload_clean.php[/url]
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.

Сделайте лог MiniToolBox:
[url]http://virusinfo.info/showthread.php?t=122524&p=902877#post902877[/url]
и приложите в теме.


Эти настройки DNS ваши?
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{150619CF-0AD1-450D-AD89-9FC0C8F2219C}: NameServer = 85.21.192.5 213.234.192.7[/CODE]

Результат загрузки
Файл сохранён как 120909_195730_virusinfo_files_ADMIN-HP_504cf4aa7303f.zip
Размер файла 9476566
MD5 420f3e398d69241799bb01923a326982



Настройки DNS наши, да.

C:\Program Files (x86)\Incredibar.com устанавливали? Если нет то удалите через установку/удаление программ.


- [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

Incredibar удалили, комп просканировли.

Программа Вам известна? C:\Program Files (x86)\Premiumplay Codec-C

Нет, вроде эту программу не знаю.

[quote="off-top;924040"]Нет, вроде эту программу не знаю.[/quote]
Удалите через установку/удаление программ.


- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
QuarantineFile('C:\Users\admin\0.12562956292990102.exe','');
DeleteFile('C:\Users\admin\0.12562956292990102.exe');
QuarantineFile('C:\Users\admin\AppData\Roaming\oemfpc.dat','');
DeleteFile('C:\Users\admin\AppData\Roaming\oemfpc.dat');
DeleteFileMask('C:\Program Files (x86)\Premiumplay Codec-C','*',true);
DeleteDirectory('C:\Program Files (x86)\Premiumplay Codec-C');
RegKeyDel('HKEY_CLASSES_ROOT','CLSID\{11111111-1111-1111-1111-110011041135}');
RegKeyDel('HKEY_CLASSES_ROOT','TypeLib\{44444444-4444-4444-4444-440044044435}');
RegKeyDel('HKEY_CLASSES_ROOT','Interface\{55555555-5555-5555-5555-550055045535}');
RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.BHO.1');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011041135}');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011041135}');
RegKeyDel('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011041135}');
RegKeyDel('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011041135}');
RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.BHO');
RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.FBApi');
RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.FBApi.1');
RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.Sandbox');
RegKeyDel('HKEY_CLASSES_ROOT','CCrossriderApp0000435.Sandbox.1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи АВЗ.

- [URL="http://virusinfo.info/showthread.php?t=115256"]Сделайте лог RSIT[/URL].

Результат загрузки
Файл сохранён как 120910_135820_quarantine_504df1fc3ef67.zip
Размер файла 25893
MD5 de469d15cc8bed83e7efc55c8102d0a6

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]O1 - Hosts: 217.73.57.92 userapi.com
O1 - Hosts: 217.73.57.92 st0.userapi.com
O1 - Hosts: 217.73.57.92 st1.userapi.com
O1 - Hosts: 217.73.57.92 st2.userapi.com
O1 - Hosts: 217.73.57.92 st3.userapi.com
O1 - Hosts: 217.73.57.92 st4.userapi.com
O1 - Hosts: 217.73.57.92 st5.userapi.com
O1 - Hosts: 217.73.57.92 st6.userapi.com
O1 - Hosts: 217.73.57.92 st7.userapi.com
O1 - Hosts: 217.73.57.92 st8.userapi.com
O1 - Hosts: 217.73.57.92 st9.userapi.com
O1 - Hosts: 217.73.57.92 stg.odnoklassniki.ru
O1 - Hosts: 217.73.57.92 img0.imgsmail.ru
O1 - Hosts: 217.73.57.92 img1.imgsmail.ru
O1 - Hosts: 217.73.57.92 img2.imgsmail.ru
O1 - Hosts: 217.73.57.92 img3.imgsmail.ru
O1 - Hosts: 217.73.57.92 img4.imgsmail.ru
O1 - Hosts: 217.73.57.92 img5.imgsmail.ru
O1 - Hosts: 217.73.57.92 img6.imgsmail.ru
O1 - Hosts: 217.73.57.92 img7.imgsmail.ru
O1 - Hosts: 217.73.57.92 img8.imgsmail.ru
O1 - Hosts: 217.73.57.92 img9.imgsmail.ru[/CODE]

Повторите hijackthis.

Готово.

Да чтож такое)

Откройте файл [B]c:\windows\system32\drivers\etc\hosts[/B] в блокноте от имени администратора.
Удалите из него строки:
[CODE]217.73.57.92 userapi.com
217.73.57.92 st0.userapi.com
217.73.57.92 st1.userapi.com
217.73.57.92 st2.userapi.com
217.73.57.92 st3.userapi.com
217.73.57.92 st4.userapi.com
217.73.57.92 st5.userapi.com
217.73.57.92 st6.userapi.com
217.73.57.92 st7.userapi.com
217.73.57.92 st8.userapi.com
217.73.57.92 st9.userapi.com
217.73.57.92 stg.odnoklassniki.ru
217.73.57.92 img0.imgsmail.ru
217.73.57.92 img1.imgsmail.ru
217.73.57.92 img2.imgsmail.ru
217.73.57.92 img3.imgsmail.ru
217.73.57.92 img4.imgsmail.ru
217.73.57.92 img5.imgsmail.ru
217.73.57.92 img6.imgsmail.ru
217.73.57.92 img7.imgsmail.ru
217.73.57.92 img8.imgsmail.ru
217.73.57.92 img9.imgsmail.ru[/CODE]
Сохраните изменения, перезагрузитесь и посмотрите не появились ли эти строки снова.

Упс.. Никак не сохранить изменения..:O

Пуск - Блокнот - открыть от имени администратора - hosts. Удаляю строки, но файл не сохраняется. т.е. предлагает сохранить отдельным txt-файлом.
То же самое - в безопасном режиме, то же самое с отключенным антивирусом, и поменять в свойствах файла настройки безопасности тоже не получилось :(

А удалить или переименовать файл дает?

Нет, не дает (( ни удалить, ни переименовать, ни перенести куда-нибудь((

[URL="http://www.oszone.net/7836/"]Сделайте себя владельцом файла и дайте себе права.[/URL]

Никак не получается тоже.. B так и сяк крутили - отказ в доступе, и хоть ты тресни! :hang1:

Загрузитесь с какого-нибудь liveCD, и поправьте этот файл.

Ваши проблемы остались в полном объеме?

PavelA, к сожалению, да :(
Есть подозрение, что я не так что-то делаю с liveCD. У меня скачан Докторвебовский.
И вот мне кажется, что я как-то неправильно переношу файл hosts, который там есть.
Не могу найти подробную информацию, как работать с Midnight Commander, в документации к диску оч кратко, Предусматривается, что у пользователя есть опыт работы с файловыми менеджерами, но это не про меня. Вроде и файл нужный нахожу, и путь прописываю правильный, но ничего не происходит.
Может быть у вас есть какая-то пошаговая инструкция, как перенести файл с liveCD на компьютер?
Или как его исправить свой "больной" с помощью этого диска?

[b]off-top[/b], загрузитесь с Live CD и просто удалите этот файл, потом загрузитесь из под обычной системы и сделайте [url=http://virusinfo.info/showthread.php?t=115256]логи RSIT.[/url]

Хмммм... получается, что я вобще не нахожу с помощью LiveCD свой host, потому что файл, который я вижу, с изменениями на какое-то декабря 2011 года, и я его открывала - он правильный, без лишних строк. Вот его я и пыталась скопировать. А мой host - с изменениями от 29.08.2012, с лишними строками.
Это как вобще? Так может быть, или я не туда смотрю? :dash2:

Ваш заражённый Host скорее всего находится по адресу:

[CODE]C:\Windows\SysWOW64\Drivers\Etc\[/CODE]

но на всякий случай проверьте и содержание файла здесь

[CODE]C:\Windows\System32\Drivers\Etc\[/CODE]

у меня по этому адресу C:\Windows\SysWOW64\Drivers\
вобще нет папки etc
А зараженный hosts как раз вот здесь: C:\Windows\System32\Drivers\Etc\
Вот я вижу еще там файл hosts.bak - он вот изменен за 2 минуты до изменения файла hosts
Это на всякй случай говорю, вдруг важно.. и этот вот hosts.bak не посмотреть даже, отказ в доступе.

[quote="off-top;924193"]Пуск - Блокнот - открыть от имени администратора - hosts. Удаляю строки, но файл не сохраняется. т.е. предлагает сохранить отдельным txt-файлом.[/quote] Запусти просто Блокнот, а не от имени Администратора и попробуй проделать все операции что нам нужны.

+ пожалуйста выполните скрипт в AVZ

[CODE]var S: String;
begin
S:= GetHostsFileName;
AddToLog('Путь к файлу hosts =>');
AddToLog(S);
SaveLog(GetAVZDirectory + 'hosts.log');
end.[/CODE]

содержимое файла hosts.log из папки с AVZ напишите в своём сообщение.

PavelA, тоже предлагает сохранить отдельным файлом ((

regist, вот пишет:
Путь к файлу hosts =>
C:\Windows\System32\drivers\etc\hosts

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url]

Готово.

[URL="http://virusinfo.info/showthread.php?t=121769"]Выполните скрипт uVS [/URL]

[CODE];uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref HTTP://WEBALTA.RU/SEARCH
regt 14[/CODE]

Вот..

Найдите файл hosts. Зайдите в закладку "Безопасность" и сделайте скриншот того, что там есть.

+ выполните скрипт AVZ

[CODE]begin
FSResetSecurity('C:\WINDOWS\system32\urasvc.exe');
DeleteFile('C:\Windows\System32\drivers\etc\hosts');
end.[/CODE]

проверьте файл host удалился ?

PavelA,
[url]http://shot.qip.ru/008LhK-118qb6mmqO/[/url]
[url]http://shot.qip.ru/008LhK-218qb6mmqP/[/url]
[url]http://shot.qip.ru/008LhK-218qb6mmqQ/[/url]


regist, нет, не удалился.

Все на картинках у тебя правильно. Я проверил на своей 7-ке.

Теперь рассказываю, что надо тебе сделать по шагам:
1. Запустить explorer от имени Администратора
2. Из него запустить wordpad или notepad
3. Открыть файл hosts
4. Отредактировать его и попытаться сохранить.

Самый важный 1-ый пункт.