Здравствуйте.
У меня на компьютере с недавних пор в браузерах Опера и Хром открываются или сами по себе новые вкладки с рекламными сайтами или когда нажимаю на ссылки на других (разных) сайтах.
Помогите пожалуйста.
Здравствуйте.
У меня на компьютере с недавних пор в браузерах Опера и Хром открываются или сами по себе новые вкладки с рекламными сайтами или когда нажимаю на ссылки на других (разных) сайтах.
Помогите пожалуйста.
Уважаемый(ая) [B]Кирилл Александров[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[URL="http://virusinfo.info/showthread.php?t=122524"]Сделайте лог MiniToolBox[/URL] [U]при подключённом интернете[/U].
Скачайте [URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL] и сохраните его на 0рабочем столе. Запустите его (в Windows Vista/7 необходимо запускать по правой кнопке мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Search"[/B] и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в файле [B]C:\AdwCleaner[R1].txt[/B]. Прикрепите отчет к своему следующему сообщению.
готово
Запустите повторно [B]AdwCleaner (by Xplode)[/B] (в ОС [B]Windows Vista/7[/B] необходимо запускать по правой кнопке мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Delete"[/B] и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен как [B]C:\AdwCleaner[S1].txt[/B]. Прикрепите отчет к своему следующему сообщению.
Внимание! [COLOR="Red"]Для успешного удаления может потребоваться [U]перезагрузка компьютера[/U].[/COLOR]
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL].
Проверьте, что с проблемой.
Готово.
Delete сделал, куки почистил.
Проблема осталась.
Ранее проверялся комп Drweb CureIT и что-то удалил - {чего_то_там}.exe
Нужно было только куки или программой CCleaner тоже?
И кэш, и куки, можно и в самом броузере.
Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
Готово
[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM:[/url][code]HKLM\System\CurrentControlSet\Enum\Root\LEGACY_AVT-NET (Trojan.Agent) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Services\Avt-Net (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\User\DOWNLOADER_TMP_-1210063915 (PUP.Downware.RU) -> Действие не было предпринято.
C:\Documents and Settings\User\Desktop\wael_kfoury_-_law_hobna_ghalta.exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято.
C:\Documents and Settings\User\Desktop\Доступ ЗАПРЕЩЁН!!\krasivaya_muzika_-_dlya_tantsa_zhivota_get-tune_net.exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято.
C:\System Volume Information\_restore{6AC9584F-2CB7-48CC-99C0-AA7CAF75642C}\RP743\A0263030.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\System Volume Information\_restore{6AC9584F-2CB7-48CC-99C0-AA7CAF75642C}\RP765\A0272081.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\INST\Adobe Photoshop CS2 9 Rus\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Сборник\Музыка\tatosha_30748_rus.exe (Spyware.Banker) -> Действие не было предпринято.[/code]Что с проблемой, проверьте после удаления и перезагрузки.
Проблема осталась. На всякий случай почистил еще раз кэш и куки и все равно.
Может еще раз МВАМ сделать полный скан и выложить лог? Но это уже завтра т.к. у нас час ночи ((
Я так понимаю папка "C:\System Volume Information\" для восстановления системы и зловреды каким-то образом восстанавливаются оттуда или не все удаляются? Может отключить восстановление системы перед сканированием и удалением через МВАМ?
System Volume Information не трогайте, вирусы, найденные MBAM неактивны.
[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].
Приложите скриншоты одного-двух баннеров.
Прикрепил лог.
Еще стало выскакивать окно активации при входе и работе в одноклассниках.
Сделал скриншоты. Пытался поймать момент когда происходит переход на рекламный сайт - на скриншотах помечено красными областями. Переходы происходят на разных сайтах. Просто заходишь на сайт, ходишь по нему по ссылкам или листаешь и один из моментов или пролистывания или кликания по одной из ссылок как бы страничка начинает грузиться нужная, а потом раз... и переход на рекламный сайт. Этото момент как раз заскриншотил - файлы screenshot3 и screenshot2 виден момент перехода на страничку из файла screenshot.
Почитайте еще раз, внимательно как сделать [URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL], то что прикрепили для анализа непригодно.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
+ Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
DeleteFileMask('C:\Program Files\pchd', '*', true);
DeleteDirectory('C:\Program Files\pchd');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.[/CODE]
Ждём правильный лог uVS.
на этот раз вроде как правильно сделал
скрипт выполнил - это от всплывающего окна в одноклассниках?
Выполните скрипт в uVS [URL="http://virusinfo.info/showthread.php?t=121769"]Как выполнить скрипт в uVS[/URL]
[CODE];uVS v3.77.1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delref HTTP://WEBALTA.RU
delref %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216012F0}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216032FF}
deltmp
restart[/CODE]
На запрос об удалении программ соглашайтесь.
Сделайте повторный лог uVS.
готово.
в процессе было предложено деинсталлировать джава апдейт 6
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"][B]ScanVuln.txt[/B][/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Что с проблемой ?
Из ссылок сделал все кроме обновления ие (им не пользуются на компе), обнеовления где требуется лицензионная винда и обновление для офиса 2007 где требуется сп3 для офиса 2007.
критично ли это?
проблема осталась
Обновляйте всё, если IE никто не пользуется, то не факт, что уязвимостями в нём нельзя воспользоваться для установки троянов.
Сделайте скриншоты пары всплывающих окон.
Сделайте новый полный образ автозапуска uVS.
Вот лог авз после выполнения скрипта:
[QUOTE]Поиск критических уязвимостей
Установите новый Internet Explorer
[url]http://windows.microsoft.com/ru-ru/internet-explorer/download-ie[/url]
Несанкционированные цифровые сертификаты делают возможным подмену содержимого
[url]http://www.microsoft.com/ru-ru/download/details.aspx?id=29975[/url] (требуется лицензионный Windows) или
[url]http://download.microsoft.com/download/1/1/A/11A221A6-953C-40E1-87CD-2A4CD98224C4/WindowsXP-KB2718704-x86-RUS.exe[/url]
Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=b1c185e9-5328-4bf7-b175-fd9d7fc64097[/url]
Для установки этого обновления требуется установить SP3 для Office 2007
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0E40BBE7-1422-40EA-912D-2A29D709F93F[/url]
Обнаружено уязвимостей: 3[/QUOTE]
1. ие не обновляет. ругается на что-то на английском и предлагает перезагрузиться, и затем на рабочем открыть созданную страничку с рекомендациями по устранению ошибок перед установкой.
вот ссылка - [url]http://support.microsoft.com/gp/ie8_browserDetect[/url]
2. обновление для лиценз винды не ставится т.к. хочет сначала установить проверку винды, что, конечно же, не проходит )))
3. обновление сп3 для офиса не устанавливается - Не удалось выполнить обнаружение, вероятно, из-за повреждения базы данных установки.
скриншот открывающегося сайта и полный образ прилагаю
Думаю может уже формат цэ комплит:(
IE8 скачайте по ссылке [URL="http://yadi.sk/d/324Ddp4_50D6j"]http://yadi.sk/d/324Ddp4_50D6j[/URL] и установите.
По п. 2 - там прямая ссылка на обновление, проверка подлинности не требуется для установки, скачивайте и накатывайте.
Java не полностью удалилась, возможно, из-за этого проблемы. Скачайте [URL="http://singularlabs.com/software/javara/javara-download/"]JavaRa 2.1[/URL], распакуйте, [B]закройте все браузеры[/B], запустите, нажмите "Remove Java Runtime", перезагрузите систему и сделайте для контроля новый полный образ автозапуска.
Подскажите пожалуйста по п.2 прямую ссылку на английскую версию, а то винда англ с накатанным русским.
как все сделаю - отпишусь.
[URL="http://download.microsoft.com/download/D/0/7/D07BC77B-ECE5-4BD9-80F8-17C5C237B1A0/WindowsXP-KB2718704-x86-ENU.exe"]http://download.microsoft.com/download/D/0/7/D07BC77B-ECE5-4BD9-80F8-17C5C237B1A0/WindowsXP-KB2718704-x86-ENU.exe[/URL]
[QUOTE=Vvvyg;1003366]IE8 скачайте по ссылке [URL="http://yadi.sk/d/324Ddp4_50D6j"]http://yadi.sk/d/324Ddp4_50D6j[/URL] и установите.
[/QUOTE]
для русской винды. Есть ссылка для английской версии?
У меня нет. Не найдёте сами, вечером поищу.
[b]Vvvyg[/b], ие8 не могу что-то найти, п.2 установилось, Remove Java Runtime сделал удалив джаву, новую через эту программку не ставил, перегрузил. сп3 для офиса все равное не ставится с той же ошибкой. Нашел сп3 на диске zver-dvd - не ставится с той же ошибкой.
Странички продолжают появляться. Успел скриншот сделать в момент загрузки этой левой странички.
Скриншоты и полный образ прилагаю.
На скриншотах "Новый рисунок" - момент перехода, а "Новый рисунок(1)" - конечный адрес, который отображается в адресной строке когда эта страница загрузится (полный криншот в этом сообщении - [url]http://virusinfo.info/showthread.php?t=138495&p=1003274&viewfull=1#post1003274[/url]).
Замучил меня уже этот мужик, неужели никогда не избавлюсь.
Всё равно хвост от Java болтается...
Обновите Opera до 12.15.
Выполните скрипт в AVZ:[CODE]begin
ExecuteWizard('SCU',2,2,true);
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
RebootWindows(false);
end.[/CODE]После перезагрузки посмотрите, что с проблемой.
Страницы продолжают открываться:(
[LIST][*]Скачайте [B][COLOR="Green"]Junkware Removal Tool by thisisu[/COLOR][/B] [URL="http://thisisudax.org/downloads/JRT.exe"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Закройте все программы, [B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО.[*]Запустите утилиту (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B])[*]Дождитесь окончания сканирования и удаления[*]По завершению сканирования лог ([B][COLOR="blue"]JRT.txt[/COLOR][/B]) будет сохранен на [I]Рабочем столе[/I] и автоматически открыт в [I]Блокноте[/I].[*]Прикрепите полученный лог [I]JRT.txt[/I] к своему следующему сообщению.[/LIST]
сделано
что с проблемой ?
проблема осталась
подключите другой компьютер к этому модему/точке подключения к сети и проверьте будет ли проблемы.
роутер wi-fi. от него комп, который заражен, по кабелю получает инет. еще есть ноут, получающий инет по ви-фи. на нем заходили на те же сайты через те же браузеры в течении 30 мин. проблема не обнаружилась.
скачайте какой-нибудь портативной браузер, например [url]http://www.opera-usb.com/[/url] и проверьте будет ли проблема там.
скачали, разархивировали в папку на флешку, походили по тем же сайтам в течении получаса - проблема не появлялась.
как быть дальше?
Удалите полностью Opera, вычистите профиль, т. е. папку[CODE]C:\Documents and Settings\User\Application Data\Opera[/CODE]со всем содержимым, затем установите снова.
[quote="Vvvyg;1006026"]вычистите профиль, т. е. папку[/quote]
удалять надо две папки Опера, вторая папка лежит в
[CODE]C:\Documents and Settings\UserName\Local Settings\Application Data\Opera\[/CODE]
[b]Vvvyg[/b],
[b]regist[/b],
а можно сохранить из оперы закладки через Экспорт? не сохранится ли с ним вирус?
и что делать с Хромом где тоже самое происходит, тоже деинсталлировать?
Проверьте пока на Опере, после полной переустановки проблема останется, или нет.