Показано с 1 по 16 из 16.

Браузер сам открывает ссылку (заявка № 179605)

  1. #1
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    31

    Браузер сам открывает ссылку

    Здравствуйте, уважаемые гуру!
    Помогите пожалуйста.
    Дано.
    Win7-64, ESS (нод нормально обновляется).
    С некоторых пор (есть подозрение на конкретно установленную программу из случайного места) компьютер стал сильно тормозить и стали появляться следующие признаки живности
    1.Примерно через 10 минут после запуска компа открывается ссылка в браузере по умолчанию (Мазила) на какое-то украинское СМИ. Если браузер не запущен - тогда запускается.
    2. Стали выскакивать сообщения от ESS, по памяти, "подделка кэша DNS". Насколько помню dns настроены гугловские.
    3.Сильно замедлена работа компьютера (почистили, температуру проверили). В перезагрузку тоже уходит ("Завершение работы....") крайне долго. Совсем недавно такого не было.
    Что пробовалось.
    1. Прогонка стандартным АВПТул ничего кроме знакомых файлов (вроде TNODEUP) не дала. Кстати, он вначале какую-то ошибку выдавал, ошибка загрузки драйвера вроде.
    2. Пробовали поставить разрекламированные антируткиты (вроде Hitman, malware..., Spybot Search &Destroy, ...). Они без спроса снесли активацию, придрались к hasp и прочему. Пришлось делать множество откатов системы. В результате остались разные хвосты от разных установок, хаос системы увеличился. Больше пользоваться не буду. Переставлять винду не люблю.
    3. В папке с-виндоус-темп лежат подозрительные файлы. Чистка руками ничего не дала, вкладка в браузере открывается снова.
    Заранее благодарю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) C0NSUL, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    c:\program files (x86)\common files\syspwow\syspwow.exe
    Пришлите карантин согласно Приложения 1 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    31
    1. Карантин с файлом "c:\program files (x86)\common files\syspwow\syspwow.exe" прислан по красной ссылке.
    Файл сохранён как 150315_034749_virus_5504c8a55c417.zip
    Размер файла 3194530
    MD5 014581d9c2bf07c328170a05604fb801
    2. Процедура (http://virusinfo.info/content.php?r=290-virus-detector) проведена, однако файл virusinfo_auto_имя_вашего_ПК.zip, как архив, оказался пустым. Тем не менее прикрепил по инструкции. Подробности:
    имяфайла virusinfo_auto_C0NSUL_STATION.zip,
    MD5 карантина: 76CDB2BAD9582D23C1F6F4D868218D6C,
    Размер файла: 22
    3. Процедура Farbar Recovery Scan Tool выполнена. Подробности (2 файла) прикрепляю.
    Вложения Вложения

  7. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-21-3500780162-4066346404-1468765509-1001\...\Run: [AdobeBridge] => [X]
      HKU\S-1-5-21-3500780162-4066346404-1468765509-1001\...\Run: [syspwow.exe] => C:\Program Files (x86)\Common Files\syspwow\syspwow.exe [10630286 2015-02-21] (Windows@Operating Company)
      FF Extension: DuckDuckGo Plus - C:\Users\C0NSUL\AppData\Roaming\Mozilla\Firefox\Profiles\300insc4.default\Extensions\jid1-ZAdIEUB7XOzOJw@jetpack.xpi [2014-03-09]
      2014-08-12 16:44 - 2014-08-12 16:44 - 0004990 _____ () C:\ProgramData\rmyxsfnf.kny
      AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
      AlternateDataStreams: C:\ProgramData\TEMP:7980A5DB
      AlternateDataStreams: C:\ProgramData\TEMP:810B9F0D
      AlternateDataStreams: C:\ProgramData\TEMP:8DAF83BD
      AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
      AlternateDataStreams: C:\ProgramData\TEMP:B6AC352B
      AlternateDataStreams: C:\ProgramData\TEMP:C59E90A4
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:7980A5DB
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:810B9F0D
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:8DAF83BD
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:B6AC352B
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:C59E90A4
      EmptyTemp:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    31
    Создал файл.
    Запустил программу, пофиксил, создался лог-файл.
    Перезагрузился.
    Лог-файл - прикрепляю.
    Вложения Вложения

  10. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Что с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    31
    Специально подождал проявление выскакивающей ссылки, так как выскакивала не сразу.
    Прошло часа 2-3.
    1. Ссылка в браузере-Мозиле более не открывается (как указано в 1м сообщении темы)
    2. Комп стал заметно пошустрее.
    Похоже живность удалена.

    Однако по прежнему выскакивает сообщение NOD-a
    "15.03.2015 21:45:19 Обнаружена атака путем подделки записей кэша DNS 77.88.8.1:53 192.168.[xxx].[xxx]:57965 UDP C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE"
    Возможно, это результат неправильной маршрутизации трафика (На компе настроены Яндекс DNS).
    Если так, то вопрос, конечно, не к вам.
    ___
    Скажите также пожалуйста, что это была за живность
    Где именно эта живность живет, где мог поймать (флешки, браузер, файлы из почты...)

  13. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    "15.03.2015 21:45:19 Обнаружена атака путем подделки записей кэша DNS 77.88.8.1:53 192.168.
    Это Яндекс DNS.

    Скажите также пожалуйста, что это была за живность
    c:\program files (x86)\common files\syspwow\syspwow.exe
    Видимо эта программа гадила, т.к. я ее только из автозагрузки убрал. Файл удалите вручную.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    31
    Странно. Прогнал этот файл на Virustotal, показал что чистый 0/57.
    А вот эти все другие процедуры и карантины, ничего вирусного не выявили?

  16. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    А вот эти все другие процедуры и карантины, ничего вирусного не выявили?
    Плохого не видно.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  17. #12
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    31
    Странно. Но кто-то же открывал ссылку в Мазиле.
    ________
    К слову сказать, вот это не исчезло.
    Код:
    C:\Windows\Temp\TmpFile1
    8мб
    НОД не проверяет, пишет "ошибка открытия"
    На Вирустотал не хочет идти, говорит "процесс занят"
    В сети встречаются обсуждения, но конкретного ответа не нашел. Чаще обсуждают "TmpFile1.exe"

  18. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    c:\program files (x86)\common files\syspwow\syspwow.exe
    Возможно эта программа после запуска открывала ссылку в Mozilla.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  19. #14
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    31
    :-/
    ...скажите, как удалить C:\Windows\Temp\TmpFile1

  20. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Попробуйте в безопасном режиме удалить.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  21. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) C0NSUL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 17
      Последнее сообщение: 16.03.2014, 08:55
    2. Ответов: 12
      Последнее сообщение: 15.08.2013, 01:10
    3. Ответов: 12
      Последнее сообщение: 01.05.2012, 21:46
    4. Браузер сам открывает ссылку на рекламу
      От B.A.N в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.06.2011, 20:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01539 seconds with 17 queries