Вирус подмены страниц

Printable View

25.07.2016, 17:43
Andrey_87

Вложений: 3

Вирус подмены страниц

Доброго времени суток!
Система Win 7x64 sp1.
Замучил вирус подмены страниц в хроме, в эксплорере вроде нет.
25.07.2016, 17:44
Info_bot

Уважаемый(ая) [B]Andrey_87[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
26.07.2016, 01:17
SQ

Здравствуйте,

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
26.07.2016, 12:51
Andrey_87

Вложений: 1

Добрый день!
26.07.2016, 14:22
SQ

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
26.07.2016, 15:22
Andrey_87

Вложений: 1

Готово, удалил все папки
26.07.2016, 16:37
SQ

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
26.07.2016, 17:35
Andrey_87

Вложений: 2

вот
27.07.2016, 00:19
SQ

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR DefaultSearchKeyword: Default -> lp
Folder: C:\Users\Andrey\AppData\Roaming\Thinstall
2015-09-10 12:39 - 2015-09-10 12:39 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
C:\Users\Andrey\AppData\Local\Temp\nvStInst.exe
C:\Users\Andrey\AppData\Local\Temp\ose00000.exe
C:\Users\Andrey\AppData\Local\Temp\Uninstall.exe
C:\Users\Гость\AppData\Local\Temp\{0EDF9A2E-9D66-4F35-B51C-609EC55237B2}-51.0.2704.84_50.0.2661.102_chrome_updater.exe
Task: {4AA77D17-3E18-41F0-943D-A94A2A0D9945} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {C0967A35-84E6-4880-BDDA-2DD6C2DE826B} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
27.07.2016, 13:58
Andrey_87

Вложений: 1

Сделал
27.07.2016, 14:46
SQ

Сообщите, что с проблемой?
27.07.2016, 15:16
Andrey_87

Так же осталось, т.е. нажимаю по ссылке на любом сайте и вместо ссылки открывается сайт с рекламой, либо новое окно браузера с рекламой.
27.07.2016, 15:41
SQ

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/URL]
27.07.2016, 21:18
Andrey_87

Вложений: 1

Версия скаченной программы отличается от описания, надеюсь всё правильно сделал.
28.07.2016, 02:23
SQ

Можете удалить в Mbam, то что Вам незнакомо:
[CODE]PUP.Optional.OpenCandy, E:\distr\AstroburnLite161-0168.exe, , [5aa8f43539616fc72906dcaec73ded13],
PUP.Optional.Zona, E:\distr\ZonaSetup_latest.exe, , [ad5569c0356537ff86f2e9b960a004fc],
PUP.Optional.OpenCandy, E:\distr\DTLite4454-0315.exe, , [738f999034666ec8b17e7e0c8282ff01],
Trojan.Agent, E:\distr\Просмотр и конвертер pdf\djvureader\DjVuReader.exe, , [48ba89a045551e18cdfa7fc36d935aa6],
Adware.LoadMoney, E:\Program Files (x86)\K-Lite Codec Pack\Tools\dsconfig.exe, , [0ff30623cbcf49ed80d17e39996bca36],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\програмки\AstroburnLite161-0168.exe, , [f40e8f9ab6e4cf6780af89012bd9c937],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\програмки\DTLite4454-0315.exe, , [57ab230684161323df50abdfde2612ee],
PUP.Optional.Zona, E:\Андрей\Рабочий стол\Новая папка (2)\Downloads\maki-chan_ep.1.exe, , [eb173eebc5d51d1907716c36ea165ea2],
Rogue.FakeAV.ED, E:\Андрей\Рабочий стол\Новая папка (2)\Рабочий стол\Server\cstrike\addons\amxmodx\data\WinCSX.exe, , [a45eac7dbedc85b1f8577d2ee020b34d],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\Новая папка (2)\Рабочий стол\програмки\AstroburnLite161-0168.exe, , [55ad46e3e7b393a32b04eb9f17edfd03],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\Новая папка (2)\Рабочий стол\програмки\DTLite4454-0315.exe, , [a65c1910fb9f2c0a052adab0778d51af],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\Новая папка (2)\Рабочий стол\Работа\Desktop\Work\distr\AstroburnLite161-0168.exe, , [fa0850d9a6f4e15552ddd8b2b252ff01],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\Новая папка (2)\Рабочий стол\Работа\Desktop\Work\distr\DTLite4454-0315.exe, , [bf43e742eab0e254da55cebc3aca6997],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\Новая папка (2)\Рабочий стол\Работа\Desktop\утилиты\DTLite4454-0315.exe, , [58aaec3dd8c262d41f10a6e40cf87090],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\Новая папка (2)\Рабочий стол\Работа\Desktop\утилиты\програмки\AstroburnLite161-0168.exe, , [f012c2670199b581eb44d3b73fc5ed13],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\Новая папка (2)\Рабочий стол\Работа\Desktop\утилиты\програмки\DTLite4454-0315.exe, , [9e642efb2c6ea4927ab506841ee6a957],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\Работа\Desktop\Work\distr\AstroburnLite161-0168.exe, , [44bec6635545a0968ba46e1c0df79070],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\Работа\Desktop\Work\distr\DTLite4454-0315.exe, , [51b147e29ffb71c53bf4404a5ba909f7],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\Работа\Desktop\утилиты\DTLite4454-0315.exe, , [de241811009aa591ce615d2deb19c838],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\Работа\Desktop\утилиты\програмки\AstroburnLite161-0168.exe, , [60a262c73d5d7abc49e6dcae699b9769],
PUP.Optional.OpenCandy, E:\Андрей\Рабочий стол\Работа\Desktop\утилиты\програмки\DTLite4454-0315.exe, , [ad550f1a8119b482e14e75155fa5a858],
[/CODE]

Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
28.07.2016, 16:11
Andrey_87

Вложений: 1

Лог в прилож
29.07.2016, 10:19
SQ

[URL="http://virusinfo.info/showthread.php?t=121769"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_1\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\PROGRAM FILES\PDF ARCHITECT 4\RESOURCES\PDFARCHITECT4FIREFOXEXTENSION\
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\TEMP\CHROME_BITS_5652_14428\74_ALL_STHSET.CRX
deltmp
restart[/CODE]

Очистите куки, кэш браузеров и кэш DNS ([URL="http://virusinfo.info/showthread.php?t=128635"]http://virusinfo.info/showthread.php?t=128635[/URL])
29.07.2016, 15:20
Andrey_87

Вложений: 1

Скрипт выполнил, очистил куки, кэш браузеров и кэш DNS
29.07.2016, 18:45
SQ

Смотрите настройки Вашего роутера (192.168.11.1), скорее всего подменены днс-сервера.

P.S. проверьте настройки согласно данным Вашего провайдера и смените пароль на более сложный.
30.07.2016, 09:23
Andrey_87

Вроде помог скрипт и очистка. За 1,5 дня ни одной подмены.
Роутер сам не смогу настроить (не я его настраивал), но знаю к кому обратиться.
Спасибо за помощь, Ваш проект обязательно поддержу материально.
30.07.2016, 12:39
SQ

1. Для удаления утилит, которые использовались в лечении скачайте [URL="https://toolslib.net/downloads/finish/2/"]DelFix[/URL] и сохраните утилиту на [B]Рабочем столе[/B].

2. Запустите [B]DelFix[/B].
[SIZE=1][B]Важно[/B], для работы утилиты необходимо запускать от имени Администратора. По умолчанию в[B] Windows XP[/B] так и есть. В [B]Windows Vista/7/8/8.1/10[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]Да[/B][/SIZE]

3.В открывшемся окне программы поставьте галочки напротив пунктов [B]Remove desinfection tools[/B] и [B]Create registry backup[/B]

4. Нажмите на кнопку [B]Run[/B].

5. После окончания работы программы автоматически откроется блокнот с отчетом [B]delfix.txt[/B] (C:\delfix.txt)

6. Прикрепите этот отчет в вашей теме.

[URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:

[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
30.07.2016, 13:38
Andrey_87

Вложений: 2

Сделал
30.07.2016, 14:40
SQ

По возможности выполните рекомендации из файла [B]avz_log.txt[/B].

На этом всё!