-
Junior Member
- Вес репутации
- 54
Баннер в Google chrome
Здравствуйте,
на компьютере был установлен антивирус аваст. После того, как в Google chrome подменилась стартовая страница и начала вылазить куча рекламы, снес аваст, поставил лицензионный KAV2015. Обновил базы, сделал полную проверку, часть вирусов KAV удалил, но реклама в браузере осталась. Скачал CureIT, дочистил им систему-было найдено и удалено 15 уникальных AdWare.Win32..., которых не нашел касперский! Однако, что-то в системе осталось, при попытке закрыть вкладку в Google chrome, появляется пустое окно "Подтвердите переход", которое нельзя закрыть. Если не ошибаюсь, до проверки антивиурсами, в этом окне была реклама.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Бонифаций, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
QuarantineFile('C:\Users\Татьяна\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\Татьяна\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Татьяна\AppData\Roaming\Browsers\exe.emorhc.bat','');
DeleteService('ccnfd_1_10_0_6');
DeleteService('ccnfd_1_10_0_5');
DeleteService('BAPIDRV');
DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
DeleteFile('C:\Windows\system32\drivers\ccnfd_1_10_0_5.sys','32');
DeleteFile('C:\Windows\system32\drivers\ccnfd_1_10_0_6.sys','32');
DeleteFile('C:\Users\Татьяна\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Татьяна\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Татьяна\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
DeleteFile('C:\Windows\system32\Tasks\gameo_update','64');
DeleteFile('C:\Windows\system32\Tasks\{6DA1FA76-51DC-4094-9F64-F1B165CB5362}','64');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserslnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.
-
-
Junior Member
- Вес репутации
- 54
Добрый день,
скрипт выполнил, логи прилагаю (файл карантин получился пустым).
P.S. Посоветуйте, что лучше на данный момент, Dr.Web или Kaspersky?
Я конечно понимаю, что ни один антивирус не может ловить 100% заразы, но после этого инцидента, когда касперский пропустил 15 AdWare... доверия к нему резко поубавилось.
-
Антивирус и не должен по умолчанию ловить Adware А тем более, если пользователи сами устанавливают кучу "полезных" расширений для браузеров
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Дело в том, что я отправил файлы, найденный др.вебом (и не определенные касперским) в вирлаб касперского через личный кабинет. Пришла отбивка, что файлы неизвестные и будут переданы вирусным аналитикам. Ответа нет уже 2 дня...
Правильно понимаю, что в настройках "угрозы и исключения", нужно поставить галку "Обнаруживать другие..." для отлова адвари?
-
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
-
-
Junior Member
- Вес репутации
- 54
Готово.
Всплывающее окно с подтверждением перехода по прежнему осталось, гугл хром можно закрыть только через диспетчер задач.
-
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
-
-
Junior Member
- Вес репутации
- 54
После работы с предыдущими утилитами, попробовал очистить кэш и куки гугл хрома, проблема со всплывающим окном и невозможностью закрыть браузер ушла. Но на каждом сайте, по-прежнему, появляются рекламные баннеры, которых, естественно, никогда на этих сайтах не было.
Логи прилагаю.
Последний раз редактировалось Бонифаций; 22.03.2015 в 01:08.
-
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://isearch.?type=hppppp"
CHR DefaultSearchURL: Default -> http://isearch.web/?type=dspp&q={searchTerms}
CHR DefaultSuggestURL: Default -> http://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
CHR Extension: (Стартовая — Яндекс) - C:\Users\Татьяна\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi [2014-10-27]
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
Folder: C:\Users\Татьяна\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
Folder: C:\Users\Татьяна\AppData\Local\Google\Chrome\User Data\Default\Extensions\hnnkedafimjeodojejackoacggkdhkbo
Folder: C:\Users\Татьяна\AppData\Roaming\Opera Software\Opera Stable\Extensions\gighmmpiobklfepjocnamgkkbiglidom
OPR StartupUrls: "hxxp://www.yandex.ru/?win=162&clid=2139453-017"
2015-02-02 14:56 - 2015-02-02 15:22 - 00000000 ____D () C:\Users\Татьяна\AppData\Roaming\Torrent Search
2015-02-02 14:25 - 2015-03-18 19:58 - 00000000 ____D () C:\Users\Татьяна\AppData\Roaming\Browsers
2015-02-02 14:25 - 2015-02-02 14:25 - 00000000 ____D () C:\Users\Татьяна\AppData\Roaming\SPI
2015-02-02 14:16 - 2015-02-02 14:16 - 00000626 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-02-02 14:16 - 2015-02-02 14:16 - 00000626 __RSH () C:\ProgramData\ntuser.pol
2015-02-02 12:53 - 2015-02-02 12:53 - 00005073 _____ () C:\Users\Все пользователи\wmzddnmb.cix
2015-02-02 12:53 - 2015-02-02 12:53 - 00005073 _____ () C:\ProgramData\wmzddnmb.cix
2015-02-01 17:19 - 2015-01-12 15:35 - 00023752 _____ (360安全中心) C:\Windows\SysWOW64\Drivers\efimon.sys
2015-02-01 12:39 - 2015-02-01 12:39 - 00000000 __SHD () C:\Users\Все пользователи\360Quarant
2015-02-01 12:39 - 2015-02-01 12:39 - 00000000 __SHD () C:\ProgramData\360Quarant
2015-02-01 12:39 - 2015-02-01 12:39 - 00000000 __SHD () C:\$360Section
2015-01-31 10:38 - 2015-02-01 18:59 - 00000000 ____D () C:\Program Files (x86)\360
2015-01-08 17:06 - 2015-01-08 17:06 - 00000000 __SHD () C:\Users\Татьяна\AppData\Local\EmieUserList
2015-01-08 17:06 - 2015-01-08 17:06 - 00000000 __SHD () C:\Users\Татьяна\AppData\Local\EmieSiteList
2015-01-08 17:06 - 2015-01-08 17:06 - 00000000 __SHD () C:\Users\Татьяна\AppData\Local\EmieBrowserModeList
Task: {A86D4B2D-CF37-4332-AB50-56003F7212FA} - \{6DA1FA76-51DC-4094-9F64-F1B165CB5362} No Task File <==== ATTENTION
EmptyTemp:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
-
-
Junior Member
- Вес репутации
- 54
Готово.
Посоветуйте, какие настройки сделать в KAV2015, для усиления защиты. При этом, чтобы он продолжал работать в режиме-автомат (пользователь-девушка). В частности, стОит ли ставить галку "Обнаруживать другие программы, которые могут быть использованы злоумышленником... " я так понимаю, AdWare он должен ловить и без этой галочки, т.к. в программе написано, что по-умолчанию он ловит рекламные программы.
-
Посоветуйте, какие настройки сделать в KAV2015, для усиления защиты.
Я думаю об этом лучше спросить на форуме Касперского, где предложат оптимальные настройки KAV.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 54
Проблема ушла, спасибо вам за работу.
Компьютер был заражен неизвестным AdWare?
-
Компьютер был заражен неизвестным AdWare?
Adware, но оно известное.
- Скачайте DelFix и сохраните утилиту на Рабочем столе
- Запустите DelFix
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
- Нажмите на кнопку Run
- После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
- Прикрепите этот отчет в вашей теме.
- Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
-