Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 46.

Проблема с баннером в соц. сети [not-a-virus:RiskTool.Win32.BitCoinMiner.hoo, not-a-virus:RiskTool.Win32.BitCoinMiner.hop ] (заявка № 152566)

  1. #1
    Junior Member Репутация
    Регистрация
    28.12.2013
    Сообщений
    45
    Вес репутации
    38

    Проблема с баннером в соц. сети [not-a-virus:RiskTool.Win32.BitCoinMiner.hoo, not-a-virus:RiskTool.Win32.BitCoinMiner.hop ]

    Доброго времени суток, сотрудники Virus.info. Моя проблема состоит в следующем: при заходе в vk.com я вижу баннер, аналогичный страницы авторизации вконтакте (добро пожаловать, логин/пароль и т.д.) при том, что в адресной строке значится адрес моего профиля, а не этой страницы. Как водится, требуется отправить смс и т.д. Полная проверка стационарным доктором вебом ничего не дала, так же как и CureITом тоже. Всевозмжные самопальные операции с hosts также не привели к желаемым результатам. В общем, испробованы было множество способов, ни один из которых не сработал. Всвязи с этим, прошу рассмотреть мою просьбу, относительно данного хитрого вируса, коим по неосторожности мой ПК умудрился заразиться. Прилагаю 2 лога к сообщению (п.1 инструкции о сборе информации мною выполнен не был, так как у меня 64-разрядная Windows 7). Заранее спасибо!
    virusinfo_syscheck.zip
    hijackthis.log

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) Lasercatcher, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы

    Отключите
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     TerminateProcessByName('c:\users\lateralus\appdata\roaming\flash\cgminer.exe');
     QuarantineFile('C:\Users\Lateralus\appdata\roaming\flash\cgminer-nogpu.exe','');
     QuarantineFile('C:\Users\Lateralus\Documents\Iterra\tjosnpg.dll','');
     QuarantineFile('C:\Users\Lateralus\AppData\Roaming\Flash\update.vbs','');
     QuarantineFile('c:\users\lateralus\appdata\roaming\flash\cgminer.exe','');
     DeleteFile('c:\users\lateralus\appdata\roaming\flash\cgminer.exe','32');
     DeleteFile('C:\Users\Lateralus\AppData\Roaming\Flash\update.vbs','32');
     DeleteFile('C:\Users\Lateralus\Documents\Iterra\tjosnpg.dll','32');
     DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64');
     DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64');
     DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64');
     DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','64');
     DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','64');
     DeleteFile('C:\Users\Lateralus\appdata\roaming\flash\cgminer-nogpu.exe','32');
     DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
     DeleteFileMask('c:\users\lateralus\appdata\roaming\flash', '*', true, ' ');
     DeleteFileMask('C:\Users\Lateralus\Documents\Iterra', '*', true, ' ');
     DeleteDirectory('c:\users\lateralus\appdata\roaming\flash');     
     DeleteDirectory('C:\Users\Lateralus\Documents\Iterra');   
     BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=irmsd1202&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEyEtD0B0E0Czz0A0D0FzztN0D0Tzu0SyBtCtCtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=1141001289&ir=
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=irmsd1202&cd=2XzuyEtN2Y1L1QzuzytDtB0BtAyEyEtD0B0E0Czz0A0D0FzztN0D0Tzu0SyBtCtCtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=1141001289&ir=
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    O4 - Startup: flashupdate.lnk = C:\Users\Lateralus\AppData\Roaming\Flash\update.vbs
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6AC5FC24-A6D9-4A9D-ABFF-CF2401A9FB94}: NameServer = 37.10.116.200,8.8.8.8
    O17 - HKLM\System\CS1\Services\Tcpip\..\{6AC5FC24-A6D9-4A9D-ABFF-CF2401A9FB94}: NameServer = 37.10.116.200,8.8.8.8
    O17 - HKLM\System\CS2\Services\Tcpip\..\{6AC5FC24-A6D9-4A9D-ABFF-CF2401A9FB94}: NameServer = 37.10.116.200,8.8.8.8
    O20 - AppInit_DLLs: C:\Users\Lateralus\Documents\Iterra\tjosnpg.dll
    Перезагрузите компьютер, снова запустите HijackThis и убедитесь, что этих строк там больше нет.

    Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).

    Очистите куки и кэш браузеров (http://virusinfo.info/showthread.php?t=128635)

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  6. Это понравилось:


  7. #4
    Junior Member Репутация
    Регистрация
    28.12.2013
    Сообщений
    45
    Вес репутации
    38
    Прежде всего, спасибо за оперативную реакцию и прошу прощения за затянувшийся ответ.
    Выполнил поэтапно все процедуры, представленные выше. К сообщению прилагаю необходимые отчеты (запрошенный вами карантин также был выслан в соответствии с инструкцией).
    hijackthis.log
    virusinfo_syscheck.zip
    MBAM-log-2014-01-03 (22-19-25).txt
    Export.rar

    P.S По непонятной причине, при загрузке файла Export.txt (результаты поиска данных в реестре в AVZ) возникла ошибка в загрузчике, повторные попытки загрузки к успеху не привели. В чем может быть причина?

    P.P.S Совершил попытку загрузки вышеупомянутого файла упрощенным загрузчиком - в очередной раз потерпел неудачу, но выяснил, что размер файла превышает допустимый размер для данного типа файлов, поэтому поместил данный текстовый файл в архив и прикрепил к сообщению.

  8. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Удалите все найденное в AVZ ключи с Webalta: ПКМ по списку - выбрать все - нажать "удалить отмеченное".

    2. В MBAM удалите все кроме:

    Код:
    Обнаруженные файлы:
    C:\Program Files (x86)\ICCup\Launcher\iccwc3.icc (PUP.GameTool) -> Действие не было предпринято.
    C:\Users\Lateralus\Downloads\установочники\DTLite4454-0315.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. Это понравилось:


  10. #6
    Junior Member Репутация
    Регистрация
    28.12.2013
    Сообщений
    45
    Вес репутации
    38
    Сделал все, согласно Вашим рекомендациям. Ключи реестра удалены, найденные угрозы - тоже (кроме указанных). Прилагаю к сообщению лог повторного сканирования.

    MBAM-log-2014-01-04 (16-39-59).txt

  11. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  12. Это понравилось:


  13. #8
    Junior Member Репутация
    Регистрация
    28.12.2013
    Сообщений
    45
    Вес репутации
    38
    Свежие логи.

    hijackthis.log
    virusinfo_syscheck.zip

  14. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O20 - AppInit_DLLs: C:\Users\Lateralus\Documents\Iterra\tjosnpg.dll
    Сделайте новый лог HiJackThis
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. Это понравилось:


  16. #10
    Junior Member Репутация
    Регистрация
    28.12.2013
    Сообщений
    45
    Вес репутации
    38
    Данная строчка в списке действительно есть.
    Попытался пофиксить ее при обнаружении, фикс прошел нормально, затем мною был перезагружен ПК и собран новый лог HijackThis
    Но, при рассмотрении лога, я обнаружил, что строчка из списка не исчезла (как, если мне не изменяет память, и в первый раз при фиксе некоторых строчек несколькими этапами ранее).
    Вот лог: hijackthis.log

  17. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Нажмите на компьютере Win+R => Введите cmd => Нажмите Enter => Откроется окно редактора реестра в нем найдите ключ реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows в параметре AppInit_DLLs удалите значение C:\Users\Lateralus\Documents\Iterra\tjosnpg.dll. Перезагрузите компьютер и сделайте новый лог HiJackThis.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  18. Это понравилось:


  19. #12
    Junior Member Репутация
    Регистрация
    28.12.2013
    Сообщений
    45
    Вес репутации
    38
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Нажмите на компьютере Win+R => Введите cmd => Нажмите Enter => Откроется окно редактора реестра в нем найдите ключ реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows в параметре AppInit_DLLs удалите значение C:\Users\Lateralus\Documents\Iterra\tjosnpg.dll. Перезагрузите компьютер и сделайте новый лог HiJackThis.
    Простите, Михаил, но не могли бы Вы поподробнее описать вот этот шаг. Я нашел данный параметр, но значения в нем отсутствуют. Что мне нужно сделать?

  20. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Хорошо тогда сделайте скриншот параметра AppInit_DLLs

    Вложение 454967
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. Это понравилось:


  22. #14
    Junior Member Репутация
    Регистрация
    28.12.2013
    Сообщений
    45
    Вес репутации
    38

  23. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Кликните двойным щелчком по параметру AppInit_DLLs если значение будет пустым тогда все нормально.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  24. Это понравилось:


  25. #16
    Junior Member Репутация
    Регистрация
    28.12.2013
    Сообщений
    45
    Вес репутации
    38
    Да, пустой.

  26. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Еще раз лог HiJackThis сделайте.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  27. Это понравилось:


  28. #18
    Junior Member Репутация
    Регистрация
    28.12.2013
    Сообщений
    45
    Вес репутации
    38
    Вот и он.

    hijackthis.log

  29. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Сделайте лог UVS (http://virusinfo.info/showthread.php?t=121767)
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  30. Это понравилось:


  31. #20
    Junior Member Репутация
    Регистрация
    28.12.2013
    Сообщений
    45
    Вес репутации
    38
    Сделал лог в данной программе.

    LATERALUS-ПК_2014-01-05_13-00-30.rar

  • Уважаемый(ая) Lasercatcher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Проблема с баннером
      От Sashhha в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.12.2013, 21:39
    2. Проблема с баннером СБУ.
      От Lider2011 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.02.2013, 19:12
    3. Проблема с баннером!!
      От sg77 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.01.2013, 01:24
    4. Проблема с Баннером((
      От Din'X в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.07.2011, 01:45
    5. проблема с баннером
      От snezha в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 18.12.2009, 00:04

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01292 seconds with 20 queries