Реклама в браузерах

Тяжело сказать как. Ничего особенного не делал. Стал сильно тормозить компьютер, появилось много всплывающих окон в браузерах. Антивирус находил время от времени вирусы, их удалял, но также определил один файл как скрытый, который не удалялся. В диспетчере задач очень часто висела открытой программа со значком Internet Explorer (хотя этим браузером не пользовался). Попытался удалить Internet Explorer (полностью удалить не получилось, кое-что осталось) и в тот же день обнаружил, что файлы зашифровались. После этого переустановил Windows и обратился к Вам...

У меня ещё к Вам вопрос.

Параллельно с компьютером, на котором были зашифрованы файлы, я пользуюсь ноутбуком, который последнее время начал работать нестабильно (в браузере появилось много рекламы, некоторые странницы время от времени не открываются). Проверка антивирусом показывает один скрытый файл. Пока файлы на ноутбуке целы.

Подскажите, пожалуйста, не заражён ли ноутбук? Во вложении отправляю Вам логи с ноутбука.

Ваш провайдер?

[QUOTE]
IP: 149.156.67.233, 149.156.89.30
Страна: Польша
Город: Krakоw
Провайдер: the network covers whole Krakow area
[/QUOTE]

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

Провайдер не мой. Ноутбук - польский, некоторое время пользовался им в Кракове. Сейчас пользуюсь им в Украине.

Прикрепляю лог полного сканирования.

В MBAM удалите все найденное.

В настройках сетевого подключения пропишите DNS адреса выданные вам вашим провайдером. Потом [LIST=1][*]скачайте [url=http://virusinfo.info/soft/tool.php?tool=SITLog]SITLog[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]sitlog.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В главном окне программы выберите проверку за последние три месяца и нажмите [B]"Старт"[/B][*]По окончанию работы программы в папке [b]LOG[/b] должны появиться два отчета [B]SITLog.txt[/B] и [B]SITLog_Info.txt[/B][*]Прикрепите эти отчеты в вашей теме.[/LIST]

В МВАМ всё найденное удалил. Нужно ли удалять эти файлы из карантина?

По поводу настройки сетевого подключения: у меня ноутбук подключен через wifi к роутеру, на ноутбуке IP адрес и адрес DNS определяются автоматически, на роутере прописан IP адрес, который выдан провайдером (явно не 149.156.67.233 и 149.156.89.30), и сгенерирован соответствующий DNS адрес.

Что делать с настройками сетевого подключения ноутбука в таком случае?

Указанные IP адреса (149.156.67.233 и 149.156.89.30) я на ноутбуке нигде не смог обнаружить.

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8A36F63-7259-4DBD-B188-DB530696E01A}: NameServer = 149.156.67.233,149.156.89.30
[/CODE]

Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).

Профиксил указанные строчки в HiJackThis, интернет не пропадал, работает.

Можно переходить к выполнению операций с SITLog?

Да.

Прикрепляю отчеты SITLog

Проблема во всех браузерах? В Internet Explorer проблема наблюдается?

В основном проблема наблюдается в Chrome (чаще всего им пользуюсь). Последние дни стал пользоваться Internet Explorer (вроде бы работает более-менее стабильно, хотя иногда тоже подвисает).

В хроме отключите все расширения. Проверьте проблему с рекламой.

Расширения в хроме отключил, реклама появляется

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Прикрепляю отчет AdwCleaner

[B]Внимание[/B], следующее действие удалит установленные тулбары.

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Clean"[/B] ([B]"Очистить"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

Отчет после удаления тулбаров

что с проблемой?

В хроме проблема осталась (при отключении расширений рекламы появляется много). В Internet Explorer все в порядке.

Подскажите, пожалуйста, при такой ситуации ноутбук заражен вирусом или нет?

Переустановите Хром с удалением профиля.

Вроде бы помогло. Спасибо!!!

Подскажите, пожалуйста, при текущей ситуации есть ли вероятность что ноутбук все ещё заражен вирусами?

Нет, вирусов у вас нет. Просто адварь - рекламные программы были.


Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Скрипт в AVZ выполнил, уязвимости не были найдены.

Спасибо за помощь и советы!!!