-
Junior Member
- Вес репутации
- 52
Вирусная реклама на сайтах &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;q uot; Prox ySer ver&am p;am p;am p;am p;am p;a
Добрый день.
Во всех броузерах (IE, Chrome) вылазит вирусная реклама.
Предварительно была зараза по имени "qone8", изменявшая стартовую страницу, но ее вроде прибил сам, по крайней мере стартовая страница чистая. Возможно прибил не до конца, реклама тоже ее рук дело.
hosts файл был изменен. Почистил, проблема не решилась.
Обнаружил, что в свойствах броузера стоят галки прокси. Убрал, но как только открыл броузер - они вернулись на место.
Полез в реестр
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="http=127.0.0.1:41017"
"ProxyOverride"="<local>;*origin.com;*ea.com;*akam aihd.net"
тоже пытался удалять - возвращается на место само.
С примерно похожей темой на другом компьютере я уже обращался (заявка номер 167139)
http://virusinfo.info/showthread.php?t=167139
но в том случае не было рекламы, а просто "хвост" от вируса, либо криво установленный банк-клиент, мешавший зайти в инет.
Пытался пофиксить HiJack'ом строчку о проксе - вернулась.
Прошу помочь.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) gygabyte, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
TerminateProcessByName('c:\windows\syswow64\defaultdockinteractive\defaultdockinteractive.exe');
TerminateProcessByName('c:\users\1\appdata\local\classofficepython\daemontrashwin32.exe');
TerminateProcessByName('c:\users\1\appdata\local\classofficepython\classofficepython.exe');
QuarantineFile('c:\windows\syswow64\defaultdockinteractive\defaultdockinteractive.exe','');
QuarantineFile('c:\users\1\appdata\local\classofficepython\daemontrashwin32.exe','');
QuarantineFile('c:\users\1\appdata\local\classofficepython\classofficepython.exe','');
DeleteFile('c:\users\1\appdata\local\classofficepython\classofficepython.exe','32');
DeleteFile('c:\users\1\appdata\local\classofficepython\daemontrashwin32.exe','32');
DeleteFile('c:\windows\syswow64\defaultdockinteractive\defaultdockinteractive.exe','32');
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyServer', '');
RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyEnable', 'REG_DWORD', '0');
DeleteFileMask('c:\windows\syswow64\defaultdockinteractive','*',true);
DeleteFileMask('c:\users\1\appdata\local\classofficepython','*',true);
DeleteDirectory('c:\windows\syswow64\defaultdockinteractive');
DeleteDirectory('c:\users\1\appdata\local\classofficepython');
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
-
-
Junior Member
- Вес репутации
- 52
Все скрипты выполнил, прилагаю. Карантин выслал.
-
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать, по окончании сканирования уберите галочки на вкладке Папки со всех пунктов, где упоминаются Mail.Ru и Alawar если используете соответствующие программы.
Затем нажмите Очистить и по окончании удаления перезагрузите систему по требованию программы.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
-
-
Junior Member
- Вес репутации
- 52
-
Отключите до перезагрузки антивирус.
Выполните скрипт в uVS:
Код:
;uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
zoo %SystemDrive%\USERS\1\APPDATA\LOCAL\CLASSOFFICEPYTHON\CLASSOFFICEPYTHON.EXE
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\CLASSOFFICEPYTHON\CLASSOFFICEPYTHON.EXE
zoo %SystemDrive%\USERS\1\APPDATA\LOCAL\CLASSOFFICEPYTHON\DAEMONTRASHWIN32.EXE
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\CLASSOFFICEPYTHON\DAEMONTRASHWIN32.EXE
zoo %SystemDrive%\USERS\1\APPDATA\LOCAL\CLASSOFFICEPYTHON\SRDT.EXE
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\CLASSOFFICEPYTHON\SRDT.EXE
deldir %SystemDrive%\USERS\1\APPDATA\LOCAL\CLASSOFFICEPYTHON
delref 1HTTP=127.0.0.1:13557
deltmp
czoo
restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
-
-
Junior Member
- Вес репутации
- 52
Карантин выслал
Образ автозапуска
http://rghost.ru/58568199
-
Пофиксите в HijackThis (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)):
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:41017
Перезагрузите систему и сделайте новый лог HijackThis.
-
-
Junior Member
- Вес репутации
- 52
Загрузил. Вроде рекламы больше нет, прокся сама не ставится. СПАСИБО!
Не исключаю, что проблема может в будущем быть на других компах. Может быть есть на этот вирус универсальное решение? чтобы каждый раз к вам не обращаться?
-
Сообщение от
gygabyte
Может быть есть на этот вирус универсальное решение?
Нет, к сожалению, вариантов этого adware множество.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Выполните рекомендации после лечения.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- \classofficepython.exe._37df8410a4441c0e13b9c82d30 ef30c9aada4fd0 - not-a-virus:AdWare.Win32.Tirrip.ahi
- c:\windows\syswow64\defaultdockinteractive\default dockinteractive.exe - not-a-virus:AdWare.Win32.eDeals.b
- \daemontrashwin32.exe._76632780074d672334844be9870 dd893ea697295 - not-a-virus:AdWare.Win32.Tirrip.afh
-