Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Браузер открываеться сам, с рекламмой и опасного содержимого (заявка № 143590)

  1. #1
    Junior Member Репутация
    Регистрация
    25.05.2012
    Сообщений
    17
    Вес репутации
    21

    Thumbs up Браузер открываеться сам, с рекламмой и опасного содержимого

    Доброго времени суток! В общем проблема такая:
    Браузер открывается сам по себе , в любое время как сам захочет, с переходом на сайты с играми и рекламами о заработке, либо с опасным содержимым . Бывает такое что при поиске в поисковике "Гугль", вместо того чтобы открыть то что я запросил, он сразу начинает открывать сайты с опасным содержимым (трояны и т.д.) с множеством переходов , сначала первую ссылку а затем вторую и т.д. О чем извещает ESET smart sekurity 6 версия, и сразу блокирует доступ. Стоит "Мозила" версия - 22, при попытке закрыть браузер, он начинает зависать и не закрывается, если запущены другие программы то они зависают тоже. Вот и приходиться убивать процесс через диспетчера задач.
    В чем причина? что я мог такое поставить и как убить это нечто?...

    В общем ребята вот что получилось: При запуске АVZ начал сканирование компьютара, чтобы собрать инфу. В результате, приближаясь к завершению сканировыания, AVZ нашел трояна по пути: C:\User\uSER\aPPdATA\Local\Temp\instal.exe>>>>>tro jan.Win32.Agent2.krh
    далее я не знаю удалил он его или нет, но я не пойму, как ESET NOD-32 пропустил его в систему и даже не среогировав??? Далее, перезагружаю комп. запускаю скрипт для сбора инфы для вашего сайта, и как только он закончил собирать инфу, как вдруг открываеться снова браузер сам по себе с сылкой на игру самолеты. Я попытался закрыть эту вкладку в браузере, но она не закрываеться. Браузер заблокировал закрытие>, пришлось убить процесс диспетчером задач. То есть я так понял что AVZ его не убил, а нашел только трояна...
    прилогаю логи ниже ...
    второй файл protection-2, показывает странное поведения "мал вар" блокирует ип адресс 111.111.111.111
    Вложения Вложения
    Последний раз редактировалось platon; 10.08.2013 в 16:25. Причина: добавление файла

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) platon, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Users\User\AppData\Local\Temp\Rar$DR00.033\LaunchGTAIV.exe','');
     QuarantineFile('C:\Users\User\AppData\Local\Temp\Rar$EX00.957\Clickermann v4.5\Clickermann.exe','');
     QuarantineFile('C:\Users\User\AppData\Local\Temp\Rar$EX00.964\Keygen.EXE','');
     QuarantineFile('C:\Users\User\Downloads\clickermann_last.zip','');
     BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

    Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?im
    R3 - URLSearchHook: (no name) - - (no file)
    Сделайте логи RSIT (http://virusinfo.info/showthread.php?t=115256)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  5. #4
    Junior Member Репутация
    Регистрация
    25.05.2012
    Сообщений
    17
    Вес репутации
    21
    программа "кликер ман" это программа которая кликает в браузере по параметрам, до нее все было так же...
    второй файл определеный как троян, это "кряк" игры GTA . Единственый файл к которому у меня сомнения это
    C:\Users\User\AppData\Local\Temp\Rar$EX00.964\Keyg en.EXE

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Карантина не вижу логов запрошенных тоже.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  7. #6
    Junior Member Репутация
    Регистрация
    25.05.2012
    Сообщений
    17
    Вес репутации
    21
    всё сделал как описано выше, выключил антивирус и файрвол, отсоеденил кабель интернета от компа, выполнил скрипт после комп перезагрузился, после ввел второй скрипт, после отослал вам запрошеный карантин (вверху сайта красным) далее нашел эти 2 строчки и профиксил их в hijackthis, как вдруг запускаеться браузер снова сам по себе с этой ссылкой !!! http://ru.playpw.com/welcome/l1/?p=a...1012_450852464
    в общем не помогло не чего.
    прикрепляю логи RSIT
    Вложения Вложения
    • Тип файла: txt info.txt (28.6 Кб, 4 просмотров)
    • Тип файла: txt log.txt (55.4 Кб, 4 просмотров)

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    1) AmmyyAdmin сами устанавливали?

    2)
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.


    3) Сделайте лог MiniToolBox (http://virusinfo.info/showthread.php?t=122524)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  9. #8
    Junior Member Репутация
    Регистрация
    25.05.2012
    Сообщений
    17
    Вес репутации
    21
    AmmyyAdmin ставил сам не помню откуда, это .exe файл запускаеться без установки , могу удалить. Вы так же можете зайти через нее ко мне в комп и глянуть траблы...
    прикрепляю отчеты: AdwCleaner[R1] и MiniToolBox.exe
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  11. #10
    Junior Member Репутация
    Регистрация
    25.05.2012
    Сообщений
    17
    Вес репутации
    21
    Запустил повторно AdwCleaner (by Xplode),нажал на Delited после комп перезагрузился лог прилогаю.

    - - - Добавлено - - -

    две минуты назад обратно запустился браузер с рекламой мгры и заблокировал закрытие себя. пришлось убивать диспетчером снова
    Вложения Вложения

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    AmmyyAdmin попробуйте удалить.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  13. #12
    Junior Member Репутация
    Регистрация
    25.05.2012
    Сообщений
    17
    Вес репутации
    21
    а с чего взяли что она у меня есть? AmmyyAdmin я вроде как помню удалил давно

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    В логах видно ее C:\Users\User\Downloads\AA_v3.1.exe
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  15. #14
    Junior Member Репутация
    Регистрация
    25.05.2012
    Сообщений
    17
    Вес репутации
    21
    Её там нету, я все папки просмотрел и по этому пути переходил

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Сделайте лог Combofix (http://virusinfo.info/showthread.php?t=58309)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  17. #16
    Junior Member Репутация
    Регистрация
    25.05.2012
    Сообщений
    17
    Вес репутации
    21
    Я уже 10 программ скачал а толку нет , вот лог от Combofix. Мне интересно как эта маленькая програмка отключила мой антивирус, после от имени администратора начала рыть мой комп? вот вам и антивирусы...

    - - - Добавлено - - -

    только что браузер снова сам по себе открыл вкладку со с ссылкой http://browsergame.travian.ru/theater_of_war/?ad=10859_1081512100 в общем не чего не помогло, и я заметил что в основно он начинает открывать браузер при первом запуске либо после перезагрузки после ожидания от 5-10 минут.

    - - - Добавлено - - -

    в папке etc файле hosts почему то стоит только 127.0.0.1 localhost и больше не чего нету (пусто) куда то пропало остальное..

    - - - Добавлено - - -

    так что мне дальше делать?
    Вложения Вложения

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С

    Код:
    KillAll::
    
    File::
    c:\users\User\Downloads\AA_v3.1.exe
    
    Driver::
    AmmyyAdmin
    
    Registry::
    
    FileLook::
    
    DirLook::
    
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    Проблема наблюдается только в браузере Firefox или в других тоже?
    Последний раз редактировалось thyrex; 11.08.2013 в 13:16.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  19. #18
    Junior Member Репутация
    Регистрация
    25.05.2012
    Сообщений
    17
    Вес репутации
    21
    я в родном браузере не работаю вобще, только в мазиле. Появился странный ярлык в папке диска С с переходом на диск "С". всё сделал как указано выше лог ComboFix.txt прилогаю
    Вложения Вложения

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Что сейчас с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  21. #20
    Junior Member Репутация
    Регистрация
    25.05.2012
    Сообщений
    17
    Вес репутации
    21
    И снова запустился браузер и открылась дополнительная вкладка со сылкой на рекламу игры http://ru.playpw.com/welcome/l1/?p=a...1012_452347035 . далее сработал ваш антивирус который поставил ранее малваребайт пишет: была предотвращена попытка на узел к вредоносным сайтам ip: 217.199.218.100 порт: 49629 mozila.exe посмотрев отчеты "малваребайт" , нашел там вот что сылка и вот ещё ,перестал работать файлообменик http://rghost.ru/ куда я закачивал файлы

    - - - Добавлено - - -

    вроде нашел заразу! при запуске браузера в левом углу экрана запускаеться дрянь в виде небольшого гаджета без свойств , картинки, меню и т.д. Её можно водить по рабочему столу, но оно не закрываеться а только убиваеться через диспетчера задач вместе с мозилой. скрин прилогаю 111.jpg вот она эта тварь! 2ой вопрос, как её убить и как она залезла ко мне?

    - - - Добавлено - - -

    она же дает команду браузеру открывать сылки

    - - - Добавлено - - -

    67534aa2444444444444444.jpg под цифрой 1. эта дрянь запускаеться, и дает команду мозиле открыть вкладку с рекламой, а может и сама запустить себя и браузер вместе и дать команду на рекламу! если кликнуть по этой дряне (мини гаджет) то браузер зависнет и заблокируеться. сама же дрянь не закрываеться так как у нее нету свойств и меню. Закрываеться только с браузером с помощью дистпечера задач.

    - - - Добавлено - - -

    дрянь на рисунке под цифрой 2.

  • Уважаемый(ая) platon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 10.08.2013, 14:37
    2. Ответов: 6
      Последнее сообщение: 30.03.2013, 09:59

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00235 seconds with 17 queries