Показано с 1 по 13 из 13.

Браузерный вирус "lightcoffee.ru" (заявка № 158684)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    24.04.2014
    Сообщений
    7
    Вес репутации
    15

    Браузерный вирус "lightcoffee.ru"

    Добрый день.

    Подцепил гадость: при запуске браузера перенаправляет по рекламным сайтам, начиная с lightcoffee.ru.

    Спасибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Паша Григоришин, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Здравствуйте !!!

    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\ Windows\System32\winvhi32.dll','');
      QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
      DeleteFile('C:\WINDOWS\system32\ntos.exe','32');
      RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
      RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

    В настройках прокси сервера, сервер proxy:3128, сами прописывали ?
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    24.04.2014
    Сообщений
    7
    Вес репутации
    15
    Пока без изменений.
    Карантин прислал.
    Про прокси не отвечу, комп в рабочей сети - возможно сисадминские дела, я просто юзер.
    Вложения Вложения

  6. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    По поводу прокси, придется узнавать у админов, ее легитимность удаленно по логам мы определить не можем.

    А также придется обновлять ОС, несмотря на прекращенную поддержку ХР, то что у Вас в данный момент не установлены, обновления SP3 и последующие, делает систему уязвимой.

    - Установите (предварительно выгрузив антивирусное ПО) Service Pack 3 Может потребоватся активация
    - Установите Internet Explorer 8 (даже если Вы его не используете)
    - Установите последние обновления для Windows

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    24.04.2014
    Сообщений
    7
    Вес репутации
    15
    Прокси нет, нужно убрать.
    Пока пишу,идет обновление виндоус.
    Лог прикрепляю.
    Вложения Вложения

  8. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    По ярлыку браузера, которым его запускаете, правой кнопкой мыши - Свойства - закладка Ярлык - поле Объект.
    Там проверьте, чтобы кроме пути к исполняемому файлу браузера в кавычках не было ничего лишнего.
    Если есть, отредактируйте и нажмите ОК.
    Повторите это со всеми вашими браузерами, во всех местах, где есть их ярлыки (рабочий стол, панель быстрого запуска и т.п.)

    Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan",
      а по окончанию сканирования
      Снимите галочки со следующих строк Value Found :
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MailRuUpdater]

      и нажмите кнопку "Clean" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    24.04.2014
    Сообщений
    7
    Вес репутации
    15
    Ярлыки выглядят следующим образом: "C:\Program Files\Google\Chrome\Application\chrome.exe" "http://lightcoffee.ru"

    При попытке удалить лишнее выдает ошибку "Отказано в доступе".
    В HijackThis пофиксил. В AdwCleaner тоже.
    Лог прикрепляю.
    Вложения Вложения

  10. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466
    Цитата Сообщение от Паша Григоришин Посмотреть сообщение
    При попытке удалить лишнее выдает ошибку "Отказано в доступе".
    Учетная запись под которой работаете, обладает правами администратора ? Просто удалить неправильные ярлыки и создать новые на их местах, попробуйте так.

  11. Это понравилось:


  12. #10
    Junior Member (OID) Репутация
    Регистрация
    24.04.2014
    Сообщений
    7
    Вес репутации
    15
    Новые ярлыки решили проблему.
    Как думаете, причину устранили?

  13. #11
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    466

  14. #12
    Junior Member (OID) Репутация
    Регистрация
    24.04.2014
    Сообщений
    7
    Вес репутации
    15
    Спасибо за помощь!

  15. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Паша Григоришин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 31.08.2013, 21:27
    2. Ответов: 4
      Последнее сообщение: 22.02.2013, 15:02
    3. Ответов: 12
      Последнее сообщение: 22.10.2012, 19:24
    4. Ответов: 7
      Последнее сообщение: 26.04.2012, 15:16
    5. Ответов: 2
      Последнее сообщение: 25.06.2011, 15:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00210 seconds with 17 queries