Браузеры перенаправляют на рекламный сайт

**Scorpionchik** · 29.12.2012, 11:29

Здравствуйте, возникла проблема, что при нажатии на любые ссылки практически на всех сайтах меня перенаправляет на один и тот же рекламный сайт, проводил диагностику антивирусом NOD32 он ничего не нашел, проверял содержимое файла hosts, там изменений не заметил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 29.12.2012, 11:30

Уважаемый(ая) Scorpionchik, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 29.12.2012, 11:59

Здравствуйте !!!

Выполните скрипт в AVZ:

Код:

begin
  QuarantineFile('C:\autorun.inf','');
  QuarantineFile('C:\Users\Shar\AppData\Roaming\services.exe','');
  QuarantineFile('C:\Users\Shar\0.5743029922697986.exe','');
  QuarantineFile('C:\TEMP\siiexx.exe','');
  DeleteFile('C:\TEMP\siiexx.exe');
  DeleteFile('C:\Users\Shar\0.5743029922697986.exe');
  DeleteFile('C:\Users\Shar\AppData\Roaming\services.exe');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S13018143');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1482816');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1118854');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(21);
 ExecuteWizard('TSW',2,2,true);
 ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

очистите кэш и cookies-файлы браузеров

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) + Сделайте логи RSIT

**Scorpionchik** · 29.12.2012, 12:38

Вот, сделал как просили.

**mrak74** · 29.12.2012, 12:57

Пока просматриваю логи содержимое файла C:\autorun.inf откройте блокнотом, текст с файла сообщите в следующем сообщении. Файловый антивирус у Вас установлен ?

- - - Добавлено - - -

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\ProgramData\bKzhKXwfMoQ','');
 QuarantineFile('C:\Users\Shar\AppData\Roaming\igfxtray.dat','');
 DeleteFile('C:\ProgramData\bKzhKXwfMoQ');
 DeleteFile('C:\Users\Shar\AppData\Roaming\igfxtray.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

Сделайте лог полного сканирования MBAM

**Scorpionchik** · 29.12.2012, 13:22

[AutoRun.Amd64]
open=setup.exe
icon=setup.exe,0

[AutoRun]
open=sources\sperr32.exe x64
icon=sources\sperr32.exe,0

у меня стоит NOD32 ESET Smart Security

- - - Добавлено - - -

После выполнения скрипта пошла перезагрузка компьютера и теперь он или просто висит при выборе пользователя с надписью "добро пожаловать", или прогружается дальше , но там только черный экран и курсор. Пробовал перезагружать несколько раз - одно и тоже.
В безопасном режиме кое-как загрузилось. И что теперь делать?

**mrak74** · 29.12.2012, 14:40

В Безопасном режиме выбрать контрольную точку восстановления для отката системы можете ?

**Scorpionchik** · 29.12.2012, 14:51

да, могу, но последняя контрольная точка 23 числа.
восстанавливать?
Я пока тогда на флешку скину программы нужные.

**mrak74** · 29.12.2012, 15:06

Восстанавливать. После этого новые логи virusinfo_syscheck.zip;hijackthis.log и MBAM.

**ARMA9000** · 29.12.2012, 16:13

В папке AVZ Backup есть? Какие там файлы?

**Scorpionchik** · 29.12.2012, 16:36

ARMA9000,
есть, вот такие:
SCU.zbk
TSW.zbk
Только их прикрепить не получается - пишет Invalid files.
логи MBAM попозжу выложу, он ещё сканирует.

добавил логи MBAM

**mrak74** · 29.12.2012, 18:20

Пофиксите в HijackThis:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fastwebalta.ru/
O4 - HKCU\..\Run: [S13018143] C:\TEMP\siiexx.exe
O4 - HKCU\..\Run: [S1482816] C:\TEMP\siiexx.exe
O4 - HKCU\..\Run: [S1118854] C:\Users\Shar\0.5743029922697986.exe
O4 - HKCU\..\Run: [Taskhost] C:\Users\Shar\AppData\Roaming\services.exe

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\Shar\AppData\Roaming\services.exe','');
  QuarantineFile('C:\Users\Shar\0.5743029922697986.exe','');
  QuarantineFile('C:\TEMP\siiexx.exe','');
  DeleteFile('C:\TEMP\siiexx.exe');
  DeleteFile('C:\Users\Shar\0.5743029922697986.exe');
  DeleteFile('C:\Users\Shar\AppData\Roaming\services.exe');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S13018143');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1482816');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1118854');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
RebootWindows(true);
end.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

**thyrex** · 29.12.2012, 18:27

+ дополнительно

1.

Сообщение от Scorpionchik

SCU.zbk
TSW.zbk

Переименуйте в txt-файл и прикрепите

2. Папку (у нее атрибуты "скрытая системная") C:\ProgramData\bKzhKXwfMoQ и файл C:\Users\Shar\AppData\Roaming\igfxtray.dat (системный, только для чтения) удалите вручную

**Scorpionchik** · 29.12.2012, 19:07

Сообщение от thyrex

2. Папку (у нее атрибуты "скрытая системная") C:\ProgramData\bKzhKXwfMoQ и файл C:\Users\Shar\AppData\Roaming\igfxtray.dat (системный, только для чтения) удалите вручную

папку не получается удалить, просит права администратора, хотя они у меня есть, а такого файла вообще нету по этому пути.

**thyrex** · 29.12.2012, 21:24

Выполните скрипт в AVZ (запускать от имени Администратора по правой кнопке мыши)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Users\Shar\AppData\Roaming\igfxtray.dat');
 DeleteFileMask('C:\ProgramData\bKzhKXwfMoQ', '*', true);
DeleteDirectory('C:\ProgramData\bKzhKXwfMoQ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи RSIT

**Scorpionchik** · 29.12.2012, 21:42

Так, после выполнения этого скрипта опять перестала прогружаться винда, в чем проблема может быть?
Опять восстановление проводить?

Папка bKzhKXwfMoQ все ещё не удалилась, в ней находится ещё 1 папка без содержимого, а файл igfxtray.dat попробовал через поиск найти, но он ничего не видит.

- - - Добавлено - - -

Восстановил систему, после этого папку удалось удалить вручную. Больше на этот сайт не перенаправляет, но на всякий случай выкладываю логи.

**thyrex** · 30.12.2012, 00:51

Сделайте лог ComboFix

**Scorpionchik** · 30.12.2012, 03:17

Вот, только что-то после запуска этой проги у диска C значок пропал и он удалил программу, может даже и не одну.

**thyrex** · 30.12.2012, 12:11

Что с первоначальной проблемой?

**Scorpionchik** · 30.12.2012, 13:02

первоначальная решилась.

Браузеры перенаправляют на рекламный сайт (заявка № 129539)

Опции темы

Браузеры перенаправляют на рекламный сайт

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Это понравилось:

Антивирусная помощь

Похожие темы

Браузеры перенаправляют на рекламу

Браузеры перенаправляют на рекламу

Браузеры перенаправляют на сайт:Internet.com или вообще не открываются

Браузеры перенаправляют на стартовую страницу

Метки для этой темы

Ваши права в разделе