Рекламный вирус.

Printable View

03.07.2015, 23:59
inos

Рекламный вирус.

Здравствуйте. У меня появился очень давно вирус обращался на разные сайты делали скрипты , удалял я самостоятельно разными антивирусами даже пытался менять айпи адрес и переустанавливать виндус. Вирус заключается в то что постоянно он пробивается на страницы любого открытого сайта в виде спама, много численного спама + при нажатии просто на страницу браузера открывается спам страница, так же вирус загружает мой браузер если обычно мой браузер берет примерно 100кб то с вирусом он около 700кб берет. Возвращаюсь к первому предложению когда на другом сайте мне помогли и мы удалили айпи адрес который и загружал спам то после этого наверно то-же самый вирус просто погружал папку svchost и после этого за компьютером сидеть было не возможно и пришлось пере установить виндус и вирус со спамом вернулся (виндус лицензионный ).
Используемые антивирусные программы.
1)Zemana AntiMalware
2)AVZ
3)Malwarebytes Anti-Malware (прем)
4)adwcleaner
[ATTACH]574374[/ATTACH][ATTACH]574375[/ATTACH][ATTACH]574376[/ATTACH]
04.07.2015, 00:00
Info_bot

Уважаемый(ая) [B]inos[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
04.07.2015, 02:12
mike 1

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
QuarantineFile('C:\Users\Фэйтон\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Users\Фэйтон\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\9B9A83F6-567D-4ABC-934A-EB4434FB1974\8DA9B47D-74B8-425A-B3A4-4D7B69D5329A.exe','');
QuarantineFile('C:\Users\Фэйтон\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('c:\windows\system32\codecs\updatechecker.exe','');
DeleteFile('C:\Users\Фэйтон\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','32');
DeleteFile('C:\Users\Фэйтон\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\9B9A83F6-567D-4ABC-934A-EB4434FB1974\8DA9B47D-74B8-425A-B3A4-4D7B69D5329A.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\9B9A83F6-567D-4ABC-934A-EB4434FB1974','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','32');
DeleteFile('C:\Users\Фэйтон\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
04.07.2015, 15:01
inos

Вот запрашиваемые логи сделанные после ввода скрипта и перезагрузки компьютера [ATTACH]574447[/ATTACH][ATTACH]574448[/ATTACH][ATTACH]574449[/ATTACH][ATTACH]574450[/ATTACH]
05.07.2015, 00:38
mike 1

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
05.07.2015, 14:23
inos

[ATTACH=CONFIG]574629[/ATTACH Отчет. Становиться хуже я писал это сообщение и делал прикрепления около 30 минут постоянно страници закрываются и много рекламы . В адв клинере не было ничего все вкладки были пустые но я сделал что вы мне сказали .
05.07.2015, 21:03
mike 1

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
05.07.2015, 22:50
inos

Все что выдал сканер я прикладываю в это сообщение.
[ATTACH]574733[/ATTACH][ATTACH]574734[/ATTACH][ATTACH]574735[/ATTACH]
06.07.2015, 10:17
mike 1

[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Tcpip\Parameters: [DhcpNameServer] 217.79.182.212 8.8.8.8
Tcpip\..\Interfaces\{5A6BF478-7651-43D1-99E5-B1032FD1334E}: [DhcpNameServer] 217.79.182.212 8.8.8.8
CHR HKLM\...\Chrome\Extension: [goalojoobcfkhddpbjcmhdceeegmaphh] - http://clients2.google.com/service/update2/crx
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Фэйтон\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-06-06]
Task: {4C53F512-FF81-47FB-9A7E-A8C2317423E5} - \Kinoroom Browser No Task File <==== ATTENTION
Task: {C88F60A0-E941-426D-9D9E-325FFCE70401} - \Microsoft\Windows\9B9A83F6-567D-4ABC-934A-EB4434FB1974 No Task File <==== ATTENTION
Task: {DE73F870-1598-4E68-BA2F-C628A33F2878} - \Microsoft\Windows\extsetup No Task File <==== ATTENTION
EmptyTemp:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).[*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
06.07.2015, 13:36
inos

Сделал что вы мне сказали. На глаз ничего не изменилось. [ATTACH=CONFIG]574818[/ATTACH]
06.07.2015, 18:56
mike 1

Проверьте в сетевом подключении/роутере DNS адреса.
06.07.2015, 20:31
inos

все пусто получать автоматически от роутора.
07.07.2015, 00:43
mike 1

А в самом роутере какие DNS прописаны?
07.07.2015, 07:58
inos

Зайти в сам роутор не получается возможным но сведения в подключениях пишут днс адрес Определенный для подключения DNS-суффикс:
Маска подсети IPv4: 255.255.255.0
Шлюз по умолчанию IPv4: 192.168.2.1
DHCP-сервер IPv4: 192.168.2.1
DNS-серверы IPv4: 93.170.123.24,
8.8.8.8

Роутор не хочет в вообще заходить в себя через браузер.
07.07.2015, 11:20
mike 1

Сбросьте настройки роутера кнопкой reset
07.07.2015, 15:08
inos

Сделал рестарт сбросилось днс , я переустановил интернет с диска и получилось
Физический адрес: ‎40-61-86-5D-AF-46
DHCP включен: Да
Адрес IPv4: 192.168.2.100
Маска подсети IPv4: 255.255.255.0
Аренда получена: 7 июля 2015 г. 14:59:24
Аренда истекает: 10 июля 2015 г. 14:59:23
Шлюз по умолчанию IPv4: 192.168.2.1
DHCP-сервер IPv4: 192.168.2.1
DNS-сервер IPv4: 192.168.2.1
так же в сведениях днс получать автоматически с роутора , также браузер не находит страницу роутора .
08.07.2015, 00:07
mike 1

По этому 192.168.2.1 адресу тоже не заходит?
08.07.2015, 11:47
inos

я по нему и захожу адрес ведь у роутора одын.
08.07.2015, 19:49
mike 1

[QUOTE]также браузер не находит страницу роутора .[/QUOTE]

Что происходит при попытке зайти по этому адресу?
09.07.2015, 02:41
inos

В хроме пишет не находится такая страница или заходит в гугл. В опере пишет подключение не возможно.В интернет экповере подключение не возможно. Я пробовал сразу после загрузки компьютера заходить в роутор сначало долго думает потом загружает гугл .
09.07.2015, 09:19
mike 1

Значит страница роутера расположена на другом адресе, например 192.168.1.1
10.07.2015, 00:44
inos

Я заменил днс и сбросил интернет и потом зашел в роутор в роутинге стоит выдача пинга
# Dest IP Mask Gateway IP Metric Device Use Edit Drop
1 80.250.68.18 32 80.250.68.18 1 poe0 0
2 192.168.2.0 24 192.168.2.1 1 enet0 4209615
Увидеть днс что-то я не вижу вижу только эту таблицу в настройках там динамика и поля пустые .
дднс наверно это не то но всетаки скину
Dynamic DNS
:
Activated Deactivated стоить деактивэтид

Service Provider
:
[url]www.dyndns.org[/url]
По статусу вообще ввсе другое скидываю инфу
Wan
Status
:
Connected

Connection Type
:
PPPoE

IP Address
:
79.170.138.181

Subnet Mask
:
255.255.255.255

Default Gateway
:
80.250.68.18

DNS Server
:
5.104.175.150

NAT
:
Enabled

PPP connection time
:
0:02:58:51
10.07.2015, 12:51
mike 1

[QUOTE]DNS Server
:
5.104.175.150[/QUOTE]
Это Германия. Нужно исправить DNS адреса в роутере.
14.07.2015, 21:14
inos

Здравствуйте. Извините за ожидание позвонил я в тех поддержку с прозьбой помочь заменить DNS они ничего не знают, незнают даже как это делается и говорят бла бла бла бла купите антивирус итд, в роуторе и днс не может ни как заражать ваш компьютер. Помогите или разберите письмено как я могу откатить полностью роутор в ручную или как я могу лично заменить днс сервер .
14.07.2015, 23:24
mike 1

Удаленный доступ к компьютеру дадите?
20.07.2015, 00:07
inos

Может есть альтернативный вариант , если нету то расскажите как будет происходить подключение и через какую программу?
20.07.2015, 07:03
mike 1

[QUOTE]Может есть альтернативный вариант[/QUOTE]

Тогда звоните своему провайдеру и просите их о том, чтобы вам объяснили как прописать рекомендуемые сетевые настройки в вашем роутере.