Реклама на сайтах

Printable View

28.02.2014, 21:10
Hoegarden

Реклама на сайтах

Добрый день!
Несколько дней назад появилась реклама на всех сайтах и всплывающая реклама. Антивирусы не берут.
Лог прикладываю.
Спасибо.
28.02.2014, 21:12
Info_bot

Уважаемый(ая) [B]Hoegarden[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
28.02.2014, 22:09
mike 1

[URL="http://virusinfo.info/content.php?r=136-pravila"][B]Правила[/B][/URL]

[URL="http://virusinfo.info/showthread.php?t=121951"][B]Как оформить заявку в разделе "Помогите!"[/B][/URL]
28.02.2014, 22:19
Hoegarden

[QUOTE=mike 1;1095606][URL="http://virusinfo.info/content.php?r=136-pravila"][B]Правила[/B][/URL]

[URL="http://virusinfo.info/showthread.php?t=121951"][B]Как оформить заявку в разделе "Помогите!"[/B][/URL][/QUOTE]

Сори, увидел ошибку, сейчас будут остальные файлы.
01.03.2014, 11:10
Hoegarden

Сделал проверку, прикладываю файлы.

Забыл написать, что помимо всплывающих окон с рекламой и баннеров, иногда при нажатии на любое место на экране браузера открываются рекламные сайты.

Заранее спасибо!
01.03.2014, 11:27
thyrex

Пересоздайте ярлыки запуска браузеров

Удалите Mobogenie через Установку программ

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\dell\appdata\roaming\closer.exe','');
DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
DeleteFile('C:\Users\dell\appdata\roaming\closer.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
02.03.2014, 18:32
Hoegarden

Отчет о карантине прикрепил.
Прикладываю три файла.
Единственное, не понял, нужно ли повторять первый шаг и делать отчет AVZ.
02.03.2014, 19:23
thyrex

YoutubeAdblocker, Optimizer Pro, EZDownloader, Search-NewTAb, EmotionExtension, Weatherbar, websavEE удалите через Установку программ

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]C:\Users\dell\Downloads\The Wolf of Wall Street 2013 DVDSCR XviD-BiDA(1).exe (PUP.Optional.Installex) -> Действие не было предпринято.
C:\Users\dell\Downloads\The Wolf of Wall Street 2013 DVDScr XviD-BiDA.exe (PUP.Optional.Installex) -> Действие не было предпринято.[/code]
02.03.2014, 23:55
Hoegarden

[QUOTE=thyrex;1096149]YoutubeAdblocker, Optimizer Pro, EZDownloader, Search-NewTAb, EmotionExtension, Weatherbar, websavEE удалите через Установку программ

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]C:\Users\dell\Downloads\The Wolf of Wall Street 2013 DVDSCR XviD-BiDA(1).exe (PUP.Optional.Installex) -> Действие не было предпринято.
C:\Users\dell\Downloads\The Wolf of Wall Street 2013 DVDScr XviD-BiDA.exe (PUP.Optional.Installex) -> Действие не было предпринято.[/code][/QUOTE]

Не дает удалять EmotionExtension и Weatherbar. В первом случае пишет "Could not find proc" во втором, пишет что нет прав для удаления.
При этом антивирус (McAfee) вдруг стал ругаться на файлы, которые вы сказали, что не нужно удалять.
Непонятно, почему он раньше не находил этот вирус...
04.03.2014, 01:00
thyrex

Лог МВАМ после удаления записей где?
04.03.2014, 20:55
Hoegarden

[QUOTE=thyrex;1096568]Лог МВАМ после удаления записей где?[/QUOTE]

Сорри, вы не написали, что он нужен. Прикладываю.
04.03.2014, 23:16
regist

Проверьте эти файлы на [url=http://virscan.org/]virscan[/url]
[CODE]C:\Windows\System32\setup.exe

[/CODE]
кнопка [b]Обзор[/b] - ищите нужный файл у вас в системе - [b]Открыть[/b] - [b]Отправить файл[/b] (Send file).Нажать на кнопку [b]ReScan[/b] (если будет). Дождитесь результата .Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

и что с проблемой?
05.03.2014, 07:51
Hoegarden

Проверил, вот ссылка:
[url]http://r.virscan.org/report/90aeed50cc27dce5fe633e3fed4299a6.html[/url]

А проблема не исчезла: всплывающие окна, баннеры и окна, которые открываются при клике на странице - все осталось.
05.03.2014, 11:16
regist

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=http://yadi.sk/d/3KwxKzRHJMq4U]отсюда[/url]
05.03.2014, 23:53
Hoegarden

Не дает загрузить файл, говорит, что перелимит объема загруженных файлов.
Могу я как-то удалить старые?
06.03.2014, 00:18
mike 1

Удалите старые вложения по этой [url]http://virusinfo.info/showthread.php?t=130567[/url] инструкции.
06.03.2014, 00:35
thyrex

+ Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
07.03.2014, 00:25
Hoegarden

Файл прикладываю.
А с ComboFix какая-то фигня. Раз 10 скачивал, но файл тут же удаляется. Антивирусы вроде все отключены.
07.03.2014, 11:12
regist

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]

[CODE];uVS v3.82.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
BREG
exec "C:\Program Files (x86)\Winamp\eMusic\Uninst-eMusic-promotion.exe"
exec "C:\Program Files (x86)\smilwt\unins000.exe"
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217021FF}
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86417004FF}
exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360}
exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4}
exec C:\Program Files (x86)\Mail.Ru\Sputnik\mailrusputnik.exe uninstall
exec MsiExec.exe /X{FF6DD716-7B10-4269-9F19-FFB07AC4CD95}
regt 27
deltmp[/CODE]

на вопросы об удаление программ рекомендую соглашаться. Скрипт также удалит старую версию Java т.к. она содержит уязвимости, если она вам нужно то скачайте и установите свежую версию.

улучшения есть?
07.03.2014, 22:53
Hoegarden

Запустил скрипт, все поудалял кроме "EmotionExtension". Как и раньше, когда я пытался удалить его через удаление программ, написал ошибку "Could not find proc". И после выполнения кода в интернет постоянно рвется программа SputnikFlashPlayer.
А так - изменений нет, вирус до сих пор кидает рекламу.
07.03.2014, 23:31
regist

программы от майл.ру используете?

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
08.03.2014, 09:20
Hoegarden

Мейл.ру не пользуюсь.
08.03.2014, 13:08
regist

- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от Yandex - если программами от Yandex не пользуетесь, то их тоже удалите.
08.03.2014, 16:47
Hoegarden

Удалил. При удалении написал, что не смог удалить тот самый SputnikFlashPlayer.
Снова ничего не поменялось.
Если я переустановлю систему вирус не останется?
08.03.2014, 17:32
regist

лог AdwCleaner и uVS свежий сделайте и прикрепите.
09.03.2014, 01:03
Hoegarden

Вложений: 2

Сделал.
09.03.2014, 10:34
regist

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] (если будут вопросы об удаление программ, то соглашайтесь)

[CODE];uVS v3.82.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
BREG
exec "C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe" /uninstall
uidel "C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe" /uninstall
exec C:\Program Files (x86)\Mail.Ru\Sputnik\mailrusputnik.exe uninstall
uidel C:\Program Files (x86)\Mail.Ru\Sputnik\mailrusputnik.exe uninstall
delall %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE
delref HTTP://WWW.MAIL.RU/CNT/9516
delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q=
delref HTTP://WWW.MAIL.RU/CNT/9516[/CODE]

- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё найденное.

Что с проблемой?
09.03.2014, 11:12
Hoegarden

Все сделал, ничего не поменялось.
uVS ничего удалять не предлагал.
09.03.2014, 11:34
regist

Выполните скрипт в AVZ

[CODE]begin
DeleteFileMask('C:\Program Files (x86)\Mail.Ru\', '*', true);
DeleteDirectory('C:\Program Files (x86)\Mail.Ru\', '');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 2,2, true);
BC_Activate;
RebootWindows(false);
end.[/CODE]

Подробней опишите, в чём проблема?
09.03.2014, 13:32
Hoegarden

Скрипт выполнил, на первый взгляд пропала проблема с открытием левых страниц при нажатии на любое место на странице.
Подробнее о проблеме:
1. На страницах обычно сверху и снизу появляются баннеры типа "Живи и работай в Америке" и "Ваш ПК заражен".
2. Периодически сами по себе открываются страницы (не на полный экран) с различной рекламой (вот только что: "Станьте гражданином США").
3. Некоторые слова в тексте на страницах подчеркнуты зеленым, при наведении высвечивается в прямоугольном окошке что-то типа баннера "Spyware, free scan".
4. То, что, кажется, исчезло после последнего скрипта: в какой-то момент на странице становилось невозможно нажать на ссылки, и при нажатии на любое место открывалась страницы ("Вам нужно обратиться к стоматологу" и прочая ерунда). Иногда приходилось обновлять страницу, чтобы хоть что-то сделать (например, на этом форуме отправить сообщение), а иногда после первого открытия рекламной страницы можно было продолжать спокойно работать.
Если есть необходимость, могу скопировать ссылки, куда меня кидает.
09.03.2014, 13:43
regist

[quote="Hoegarden;1098428"]Если есть необходимость, могу скопировать ссылки, куда меня кидает.[/quote]
нет, не надо.

Проблема во всех браузерах?

- Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.
- [URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кеш и куки браузеров[/URL]

Проверяйте работу в Интернете
09.03.2014, 13:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]