Рекламный вирус [not-a-virus:HEUR:WebToolbar.Win32.BetterInstaller.gen ]

**Роман Дяченко** · 03.01.2013, 20:37

Собственно вирус рекламный например зайти на любой сайт и можно увидеть слова которые подчеркнуты при наводи на них всплывает банер с рекламой.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.01.2013, 20:38

Уважаемый(ая) Роман Дяченко, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Роман Дяченко** · 03.01.2013, 22:22

Вот на скриншоте пример рекламы, она бывает под разными словами и разной рекламой, это не реклама сайтов, потому что на любом сайте может быть даже в google или yandex и только под самыми популярными словами. например ios, phone, android и тд.

**mrak74** · 03.01.2013, 22:52

Здравствуйте !!!

Выполните скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.

Скачайте новую версию AVZ 4.39, обновите базы. - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

**regist** · 03.01.2013, 23:14

+ Сделайте логи RSIT.

**Роман Дяченко** · 04.01.2013, 11:05

Выполнил скрипт выше не помогло. Новые логи сделаю немного позже и обязательно загружу.

Мне кажется вирус появился после того как я искал мне нужный шрифт и скачал его на каком-то забугорном сайте и это не был шрифт а какая-то программа, но я ее запустил, в то время антивирус был у меня отключен. Вот ссылку нашел на ту программу: убрал мне кажется через нее ко мне попал вирус, но я могу и ошибаться.

Внимание

не надо ссылки на зловредов оставлять!!!

- - - Добавлено - - -

модератор удалил ссылку как теперь узнаете что за вирус?

- - - Добавлено - - -

логи RSIT

**regist** · 04.01.2013, 11:34

ProxyServer = 95.31.27.64:3128 сами прописывали ?

Сообщение от Роман Дяченко

удалил ссылку как теперь узнаете что за вирус?

скиньте мне в личку.

Сообщение от mrak74

Скачайте новую версию AVZ 4.39, обновите базы. - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

где эти логи ?

**Роман Дяченко** · 04.01.2013, 12:42

AVZ 4.39

- - - Добавлено - - -

ЛОГ

- - - Добавлено - - -

ProxyServer = 95.31.27.64:3128 сами прописывали ? ничего не прописывал

**миднайт** · 04.01.2013, 13:45

В HiJackThis пофиксите:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 95.31.27.64:3128

В AVZ выполните скрипт:

Код:

begin
ExecuteWizard('TSW',2,2,true);
end.

Очистите темп-папки, кэш проводников, cookies и корзину.

Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

Что с проблемами?

**Роман Дяченко** · 04.01.2013, 15:20

как профиксить в HiJackThis ?

**mrak74** · 04.01.2013, 15:25

Что значит "пофиксить с помощью HijackThis"

**Роман Дяченко** · 04.01.2013, 17:55

знаете все равно есть вирус вот его html код:Google

Все выполнил как вы описали но вирус опять появился. На скриншоте все видно.

- - - Добавлено - - -

вот код с исходника

<a title="Click to Continue > by Browse to Save" id="_GPLITA_1" style="text-decoration:underline" href="http://i.trkjmp.com/click?v=VUE6MzAzNTk6MTIxMDpnb29nbGU6NjQ5OWE4NzQxNz c4MmRlY2Q4YWEwMTM1ZWQ1NjZlNTE6ei0xMDYzLTEwMzE3Njp3 d3cuY3ktcHIuY29tOjI2Njc0OjZmYmJiZmMzNjNjZGJmMmUxOW Y3YzZmMjMyODA5ZWIy" in_rurl="http://i.trkjmp.com/click?v=VUE6MzAzNTk6MTIxMDpnb29nbGU6NjQ5OWE4NzQxNz c4MmRlY2Q4YWEwMTM1ZWQ1NjZlNTE6ei0xMDYzLTEwMzE3Njp3 d3cuY3ktcHIuY29tOjI2Njc0OjZmYmJiZmMzNjNjZGJmMmUxOW Y3YzZmMjMyODA5ZWIy" in_hdr="">www</a>

**Роман Дяченко** · 04.01.2013, 18:09

вирус не пропал я все выполнил на скрине видно

**миднайт** · 04.01.2013, 19:12

Повторите логи.
Сделайте лог полного сканирования MBAM

**Роман Дяченко** · 04.01.2013, 22:03

Новый лог. Помогите пожалуйста

- - - Добавлено - - -

Вот еще скриншот. Что же за вирусы такие? Решите пожалуйста мою проблему.

**regist** · 05.01.2013, 01:02

Удалите в MBAM

Код:

C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000570 (PUP.Downware.RU) -> No action taken.
C:\Users\Администратор\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KW2HTA11\50bf8c57a96f5[1].exe (PUP.FakePlug) -> No action taken.
C:\Users\Администратор\AppData\Local\Temp\downloader_tmp_-137498659 (PUP.Downware.RU) -> No action taken.
C:\Users\Администратор\AppData\Local\Temp\downloader_tmp_1407187903 (PUP.Downware.RU) -> No action taken.
C:\Users\Администратор\AppData\Local\Temp\{EFBEB2BB-8666-3384-D16F-CE44345D904D}\Addons\wxdownload_extension.exe (PUP.FakePlug) -> No action taken.

А также файлы

Код:

C:\Windows\System32\Drivers.bat
C:\Windows\SysWOW64\Drivers.bat

вам знакомы ? откройте их блокнотом и скопируйте сюда их содержимое.

+ в интернет выходите через роутер ?

- - - Добавлено - - -

Сделайте лог MiniToolBox

**Роман Дяченко** · 05.01.2013, 13:48

Удалил все файлы которые были найдены как подозрительные в том числе и Drivers.bat, но все равно вирус не удалился.

Использую 3G модем от моб оператора

- - - Добавлено - - -

Лог с MiniToolBox

**regist** · 05.01.2013, 18:04

Сообщение от Роман Дяченко

Удалил все файлы которые были найдены как подозрительные

Код:

C:\Program Files (x86)\Microsoft Office\KMS\mKMSAct.exe

советую восстановить.

очистите куки и кэш браузеров

**CyberHelper** · 05.01.2013, 18:14

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. \\harabarabold_downloader_by_ffonts.exe - not-a-virus:HEUR:WebToolbar.Win32.BetterInstaller.gen ( DrWEB: Adware.Somoto.8 )

Рекламный вирус [not-a-virus:HEUR:WebToolbar.Win32.BetterInstaller.gen ] (заявка № 129708)

Опции темы

Рекламный вирус [not-a-virus:HEUR:WebToolbar.Win32.BetterInstaller.gen ]

Внимание

Итог лечения

Похожие темы

Рекламный вирус

рекламный вирус 2

рекламный вирус 1

Рекламный вирус

рекламный вирус

Метки для этой темы

Ваши права в разделе