Junior Member
Вес репутации
35
Переадресация на сайты в браузере [not-a-virus:WebToolbar.Win32.CrossRider.zzu
]
Здравствуйте. При нажатии на любую ссылку в браузере, происходит переадресация на сайт ([удалено]...), с последующем всплытии различных реклам и баннеров. Скачал Farbar Recovery Scan Tool и сохранив на Рабочем столе провел проверку, во вложение добавил кроме основных еще 2 файла: FRST.txt и Addition.txt
Вложения
Последний раз редактировалось thyrex; 12.04.2015 в 15:01 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Valadimir , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Vladimir\AppData\Local\Microsoft\Windows\toolbar.exe','');
QuarantineFile('C:\Program Files (x86)\dr games\dr_games_notification_service.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kxesc');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dsohlpqjbt');
DeleteFile('c:\program files (x86)\kingsoft\kingsoft antiviruskxetray.exe','32');
DeleteFile('C:\Windows\Tasks\7ce4b200-152c-45ba-a0dc-dd15da48d909-1-6.job','64');
DeleteFile('C:\Windows\Tasks\7ce4b200-152c-45ba-a0dc-dd15da48d909-1-7.job','64');
DeleteFile('C:\Windows\Tasks\7ce4b200-152c-45ba-a0dc-dd15da48d909-10_user.job','64');
DeleteFile('C:\Windows\Tasks\7ce4b200-152c-45ba-a0dc-dd15da48d909-5.job','64');
DeleteFile('C:\Windows\Tasks\7ce4b200-152c-45ba-a0dc-dd15da48d909-5_user.job','64');
DeleteFile('C:\Windows\Tasks\7ce4b200-152c-45ba-a0dc-dd15da48d909-6.job','64');
DeleteFile('C:\Windows\Tasks\7ce4b200-152c-45ba-a0dc-dd15da48d909-7.job','64');
DeleteFile('C:\Windows\Tasks\dr_games_notification_service.job','64');
DeleteFile('C:\Program Files (x86)\dr games\dr_games_notification_service.exe','32');
DeleteFile('C:\Windows\system32\Tasks\dr_games_notification_service','64');
DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
DeleteFile('C:\Users\Vladimir\AppData\Local\Microsoft\Windows\toolbar.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Сделайте новые логи по правилам
Сделайте новые логи Farbar
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Выполнил скрипт, логи прилагаю.
Вложения
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2405656762-1143373687-3075587165-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2405656762-1143373687-3075587165-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=unchie
FF Plugin: @iqiyi.com/npWebPlayer -> C:\Program Files (x86)\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\Program Files (x86)\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @kingsfot.com/npkws -> c:\program files (x86)\kingsoft\kingsoft antivirus\npkws.dll No File
FF Plugin HKU\S-1-5-21-2405656762-1143373687-3075587165-1000: @iqiyi.com/npWebPlayer -> C:\Program Files (x86)\IQIYI Video\LStyle\npWebPlayer.dll No File
CHR Extension: (biiammgklaefagjclmnlialkmaemifgo) - C:\Users\Vladimir\AppData\Local\Google\Chrome\User Data\Default\Extensions\biiammgklaefagjclmnlialkmaemifgo [2015-04-01]
HR Extension: (dr games) - C:\Users\Vladimir\AppData\Local\Google\Chrome\User Data\Default\Extensions\figgekmbbegjkbppenaagmmepdgfbdif [2015-04-01]
CHR Extension: (giccehglhacakcfemddmfhdkahamfcmd) - C:\Users\Vladimir\AppData\Local\Google\Chrome\User Data\Default\Extensions\giccehglhacakcfemddmfhdkahamfcmd [2015-04-05]
CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [njabjmhinndphfnbjehdalkphpdmepli] - https://clients2.google.com/service/update2/crx
OPR Extension: (biiammgklaefagjclmnlialkmaemifgo) - C:\Users\Vladimir\AppData\Roaming\Opera Software\Opera Stable\Extensions\biiammgklaefagjclmnlialkmaemifgo [2015-04-01]
OPR Extension: (dr games) - C:\Users\Vladimir\AppData\Roaming\Opera Software\Opera Stable\Extensions\figgekmbbegjkbppenaagmmepdgfbdif [2015-04-01]
OPR Extension: (giccehglhacakcfemddmfhdkahamfcmd) - C:\Users\Vladimir\AppData\Roaming\Opera Software\Opera Stable\Extensions\giccehglhacakcfemddmfhdkahamfcmd [2015-04-05]
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-07] (globalUpdate) [File not signed] <==== ATTENTION
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-07] (globalUpdate) [File not signed] <==== ATTENTION
2015-03-15 15:56 - 2015-03-15 15:57 - 00000000 ____D () C:\Users\Vladimir\AppData\Roaming\ppslog
2015-03-15 15:47 - 2015-03-15 16:00 - 00000000 ____D () C:\ppsfile
2015-03-15 15:47 - 2015-03-15 15:57 - 00000000 ____D () C:\Users\Vladimir\AppData\Roaming\IQIYI Video
2015-03-15 15:44 - 2015-03-15 15:46 - 00000000 ____D () C:\Users\Все пользователи\Kingsoft
2015-03-15 15:44 - 2015-03-15 15:46 - 00000000 ____D () C:\Users\Vladimir\AppData\Roaming\kingsoft
2015-03-15 15:44 - 2015-03-15 15:46 - 00000000 ____D () C:\ProgramData\Kingsoft
2015-03-15 15:44 - 2015-03-15 15:44 - 00000000 __SHD () C:\KRECYCLE
2015-03-15 15:44 - 2015-03-15 15:44 - 00000000 ____D () C:\Program Files (x86)\kingsoft
Task: {F8982478-F637-4AF8-9471-B517583538D5} - \SystemScript No Task File <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Reboot:
Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Пересылка на сторонний сайт происходит значительно реже, а именно однократно с одной ссылки, т.е. при повторном нажатии на эту же ссылку открывается нужная статья (сайт, документ, файл), баннеры посторонние не появляются. Видео начало работать без пересылки на посторонние сайты.
Куки и кэш браузеров почистите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Не помогло, что еще посоветуете сделать.
Отключите все установленные расширения для браузеров и проверьте проблему
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения обнаружены вредоносные программы:
c:\program files (x86)\dr games\dr_games_notification_service.exe - not-a-virus:WebToolbar.Win32.CrossRider.zzu ( DrWEB: Trojan.Crossrider1.24381 )