Junior Member
Вес репутации
34
Всплывающая реклама в браузерах
После запуска приложения , в браузере стала появляться реклама , изменилась начальная страница на omnibox , в программ файлс появилась папка cityweb с файлами такого типа : city web browseradapter.exe. его процесс постоянно висел в диспетчере , после удаления почти всех файлов , кроме 2 екзешников , остальные не удалялись и потом все содержимое этой папки восстанавливалось. анлокером получилось удалить , но реклама осталась. после того , как отключил webbars дополнение в опере , реклама вроде бы в ней пропала так же , как и само расширение ( в других браузерах не проверял пока ). хотелось бы до конца добить эту заразу.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) kazantipo , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\Mozilla Firefox\upd_ext.exe','');
QuarantineFile('C:\Windows\system32\BDL.dll','');
SetServiceStart('AppMgr3.16.8591351', 4);
DeleteService('AppMgr3.16.8591351');
TerminateProcessByName('c:\users\Домашний\appdata\roaming\103298a4-1425661532-df11-9bd1-00266c652a8d\jnsifc0b.tmp');
QuarantineFile('c:\users\Домашний\appdata\roaming\103298a4-1425661532-df11-9bd1-00266c652a8d\jnsifc0b.tmp','');
TerminateProcessByName('c:\programdata\appmgr3.16.8591351\appmgr.exe');
QuarantineFile('c:\programdata\appmgr3.16.8591351\appmgr.exe','');
DeleteFile('c:\programdata\appmgr3.16.8591351\appmgr.exe','32');
DeleteFile('c:\users\Домашний\appdata\roaming\103298a4-1425661532-df11-9bd1-00266c652a8d\jnsifc0b.tmp','32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
DeleteFile('C:\Program Files\Mozilla Firefox\upd_ext.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи по правилам
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
34
1) Карантин отправил
2) Новые логи сделал и прикрепил
3) Логи FRST и Addition прикрепил
Вложения
Расширение AdBlock какой версии установлено в Firefox, Опера и Хроме?
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicyUsers\S-1-5-21-492265658-1162708607-3691631914-1015\User: Group Policy restriction detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-492265658-1162708607-3691631914-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-492265658-1162708607-3691631914-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-492265658-1162708607-3691631914-1000 -> E7197CE3CA804B8E162A55980998576D URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN33471394703180779&UM=1
BHO: RealNetworks Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> No File
Toolbar: HKLM - No Name - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No File
Toolbar: HKU\.DEFAULT -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\.DEFAULT -> No Name - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No File
Toolbar: HKU\S-1-5-21-492265658-1162708607-3691631914-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-492265658-1162708607-3691631914-1000 -> No Name - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Extension: WebBars - C:\Users\Домашний\AppData\Roaming\Mozilla\Firefox\Profiles\m6rpuace.default\Extensions\{55296253-4AF8-47DF-BC6F-EA21F1670ABA}.xpi [2013-09-20]
FF Extension: Cyti Web 1.0.1 - C:\Users\Домашний\AppData\Roaming\Mozilla\Firefox\Profiles\m6rpuace.default\Extensions\{d487b1e4-59cf-4940-87da-e7c5a283dab7}.xpi [2015-03-06]
FF Extension: No Name - C:\Users\Домашний\AppData\Roaming\Mozilla\Firefox\Profiles\m6rpuace.default\extensions\{55296253-4AF8-47DF-BC6F-EA21F1670ABA}.xpi [Not Found]
FF Extension: No Name - C:\Users\Домашний\AppData\Roaming\Mozilla\Firefox\Profiles\m6rpuace.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [Not Found]
FF Extension: No Name - C:\Users\Домашний\AppData\Roaming\Mozilla\Firefox\Profiles\m6rpuace.default\extensions\[email protected] [Not Found]
FF Extension: No Name - C:\Users\Домашний\AppData\Roaming\Mozilla\Firefox\Profiles\m6rpuace.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found]
FF Extension: No Name - C:\Users\Домашний\AppData\Roaming\Mozilla\Firefox\Profiles\m6rpuace.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [Not Found]
FF Extension: No Name - C:\Users\Домашний\AppData\Roaming\Mozilla\Firefox\Profiles\m6rpuace.default\extensions\{d487b1e4-59cf-4940-87da-e7c5a283dab7}.xpi [Not Found]
FF Extension: No Name - C:\Users\Домашний\AppData\Roaming\Mozilla\Firefox\Profiles\m6rpuace.default\extensions\[email protected] [Not Found]
FF Extension: No Name - C:\Program Files\IObit Apps Toolbar\FF [Not Found]
CHR HomePage: Default -> hxxp://www.omniboxes.com/?type=hp&ts=1425669602&from=obw&uid=HitachiXHTS545025B9A300_100427PBN2001SFZ4YBTX
CHR DefaultSearchKeyword: Default -> omniboxes
CHR Extension: (Cyti Web) - C:\Users\Домашний\AppData\Local\Google\Chrome\User Data\Default\Extensions\ifnhcmgmcjfkndpoeadjdincafeloipf [2015-03-07]
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - No Path Or update_url value
OPR Extension: (WebBars) - C:\Users\Домашний\AppData\Roaming\Opera Software\Opera Stable\Extensions\dfpbaopcdgpcdekggfendghkgfdmojog [2014-11-13]
2015-03-06 19:17 - 2015-03-06 19:17 - 00613255 _____ (CMI Limited) C:\Users\Домашний\AppData\Local\nsi942F.tmp
2015-03-07 19:03 - 2013-11-11 22:33 - 00000000 ____D () C:\Users\Домашний\AppData\Roaming\UpdaterEX
C:\Users\Домашний\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Домашний\AppData\Local\Temp\File_Download246137.exe
C:\Users\Домашний\AppData\Local\Temp\i4jdel0.exe
C:\Users\Домашний\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Домашний\AppData\Local\Temp\mediaget-uninstaller.exe
C:\Users\Домашний\AppData\Local\Temp\pps-qq-19.exe
C:\Users\Домашний\AppData\Local\Temp\SpOrder.dll
C:\Users\Домашний\AppData\Local\Temp\Uninstall.exe
C:\Users\Домашний\AppData\Local\Temp\vuupc.exe
Task: {355C9BDF-5193-4EB1-B926-8BFC77CD2B9D} - \BackgroundContainer Startup Task No Task File <==== ATTENTION
Task: {44B7945F-F31F-4BB4-9EB5-D5C522B517ED} - System32\Tasks\Hoolapp For Android => C:\Users\41BC~1\AppData\Roaming\HOOLAP~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51
AlternateDataStreams: C:\Users\Домашний\Local Settings:wa
AlternateDataStreams: C:\Users\Домашний\AppData\Local:wa
AlternateDataStreams: C:\Users\Домашний\AppData\Local\Application Data:wa
Reboot:
Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
34
1) В опере , хроме и фаерфоксе адблок 39.0
2) лог прикрепил
Вложения
Сообщение от
kazantipo
В опере , хроме и фаерфоксе адблок 39.0
Удаляйте
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
34
вроде бы удалил , но все равно проблема осталась
Отключите все установленные расширения для браузеров и проверьте проблему
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
34
Все расширения отключены , проблема осталась
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 10 В ходе лечения вредоносные программы в карантинах не обнаружены