Показано с 1 по 16 из 16.

Открытие сторонних вкладок в браузере, запуск установки браузеров и автоматическая их установка [not-a-virus:AdWare.Win32.PriceGong.a, not-a-virus:AdWare.Win32.ConvertAd.wgr ] (заявка № 190148)

  1. #1
    Junior Member Репутация
    Регистрация
    17.02.2014
    Сообщений
    31
    Вес репутации
    37

    Открытие сторонних вкладок в браузере, запуск установки браузеров и автоматическая их установка [not-a-virus:AdWare.Win32.PriceGong.a, not-a-virus:AdWare.Win32.ConvertAd.wgr ]

    При работе на компьютере время от времени запускается установка браузеров Crossbrowser, Opera или обновления Windows(хотя установка обновления обычно выглядела не так + на компьютере установлены все последние обновления). Иногда они требуют участия пользователя(нажмите далее и т.д.), но часто браузеры устанавливаются моментально(либо в фоновом режиме) и запускают свое окно(одновременно закрывая открытое окно браузера, google chrome в моем случае). Также, при работе в браузере при переходам по гиперссылкам(либо элементам, содержащим гиперссылки), переход не осуществляется, а открывается новая вкладка с какими-то рекламными сайтами или поисковиками. И наконец, при запуске браузера открывается не пустая вкладка(как установлено), а какие то рекламные страницы. Прошу помочь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) kpiok, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Здравствуйте !!!

    отключите антивирусную программу

    Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
    Код:
    O4 - HKLM\..\Run: [gmsd_ru_005010089] "C:\Program Files\gmsd_ru_005010089\gmsd_ru_005010089.exe"
    O4 - Startup: SmartWeb.lnk = C:\Users\kukin_ra\AppData\Local\SmartWeb\SmartWebHelper.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      TerminateProcessByName('c:\program files\be722a00-1442470379-11e2-995c-8851fb6d882f\knso9433.tmp');
      StopService('lexyfofi');
      QuarantineFile('C:\Users\kukin_ra\appdata\local\smartweb\__u.exe','');
      QuarantineFile('C:\Users\kukin_ra\appdata\local\smartweb\swhk.dll','');
      QuarantineFile('C:\Users\kukin_ra\appdata\local\smartweb\smartwebapp.exe','');
      QuarantineFile('C:\Users\kukin_ra\AppData\Roaming\WindowsUpdater\Updater.exe','');
      QuarantineFile('C:\Program Files\LIS\lis.exe','');
      QuarantineFile('C:\ProgramData\Browsers\browser0.bat','');
      QuarantineFile('C:\Program Files\gmsd_ru_005010089\gmsd_ru_005010089.exe','');
      QuarantineFile('c:\program files\be722a00-1442470379-11e2-995c-8851fb6d882f\knso9433.tmp','');
      DeleteFile('C:\Users\kukin_ra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk');
      DeleteFile('C:\Program Files\BE722A00-1442470379-11E2-995C-8851FB6D882F\knso9433.tmp','32');
      DeleteFile('C:\Program Files\gmsd_ru_005010089\gmsd_ru_005010089.exe','32');
      DeleteFile('C:\Users\kukin_ra\AppData\Roaming\WindowsUpdater\Updater.exe','32');
      DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','32');
      DeleteFile('C:\Users\kukin_ra\appdata\local\smartweb\smartwebapp.exe','32');
      DeleteFile('C:\Users\kukin_ra\appdata\local\smartweb\swhk.dll','32');
      DeleteFile('C:\Users\kukin_ra\appdata\local\smartweb\__u.exe','32');
      DeleteFile('C:\Users\kukin_ra\appdata\roaming\windowsupdater\updater.exe','32');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010089');
      DeleteService('lexyfofi');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU',2,2,true);
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    17.02.2014
    Сообщений
    31
    Вес репутации
    37
    Выполнил действия из предыдущего поста, файл запрошенный загрузил в карантин по ссылке вверху темы. Относительно программ - вроде не устанавливается ничего лишнего теперь, зато в браузере в разы чаще стали вылезать всякие посторонние окна + печально известный yxo.warmportrait.com открывается

  7. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      TerminateProcessByName('c:\programdata\8wdsmanpro8\wdsmanpro.exe');
      StopService('WdsManPro');
      QuarantineFile('C:\Users\kukin_ra\appdata\local\smartweb\smartwebhelper.exe','');
      QuarantineFile('c:\programdata\8wdsmanpro8\wdsmanpro.exe','');
      DeleteFile('C:\ProgramData\8WdsManPro8\WdsManPro.exe','32');
      DeleteFile('C:\Program Files\gmsd_ru_005010090\gmsd_ru_005010090.exe','32');
      DeleteFile('C:\Users\kukin_ra\appdata\local\smartweb\smartwebhelper.exe','32');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010090');
      DeleteService('WdsManPro');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.

    +
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    17.02.2014
    Сообщений
    31
    Вес репутации
    37
    Выполнил действия, указанные в предыдущем посте. К сожалению, сначала ваше сообщение было без пункта "выполните скрипт в AVZ"(насколько я видел), поэтому выполнил процедуру с ADW и FRST 2 раза(выполнил, потом увидел скрипт, удалил программы и отчеты, выполнил скрипт, скачал программы и выполнил еще раз), с FRST 2 файла получились, а вот файл отчета ADW называется чуть по другому, чем в вашем сообщении. Но я думаю, ничего страшного не случилось

  10. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Цитата Сообщение от kpiok Посмотреть сообщение
    К сожалению, сначала ваше сообщение было без пункта "выполните скрипт в AVZ"(насколько я видел)
    Все верно. Я не доглядел, поправлял сообщение.

    Цитата Сообщение от kpiok Посмотреть сообщение
    Но я думаю, ничего страшного не случилось
    Все нормально.

    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

      Код:
      CreateRestorePoint:
      CloseProcesses:
      SearchScopes: HKU\S-1-5-21-1177238915-789336058-682003330-25351 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=blackbear13
      SearchScopes: HKU\S-1-5-21-1177238915-789336058-682003330-25351 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=blackbear13
      StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1441722203&z=df5c4e75ee3a8cc2cec4e5agdz0zcg6m1oaobo0e0o&from=eit&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2EFH4045840458
      CHR Extension: (CinemaP-1.9cV17.09) - C:\Users\kukin_ra\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi [2015-09-17]
      CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
      CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
      StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.istartsurf.com/?type=sc&ts=1442566711&z=d489469ab6919fb7e262737g9zfz5oewaqbqdwdzez&from=face&uid=WDCXWD5000AAKX-60U6AA0_WD-WCC2EFH4045840458
      EmptyTemp:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    17.02.2014
    Сообщений
    31
    Вес репутации
    37
    Результат выполненных действий. Google chrome "сломался", пришлось удалить и установить заново, в IE все равно наблюдаются посторонние вкладки при запуске(хотя начальную страницу ставлю пустую)

  13. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    17.02.2014
    Сообщений
    31
    Вес репутации
    37
    Выполнено

  16. #11
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Выполните скрипт в uVS Как выполнить скрипт в uVS
    Код:
    ;uVS v3.86.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    OFFSGNSAVE
    delref %SystemDrive%\USERS\KUKIN_RA\APPDATA\LOCAL\TEMP\AMISETUP1660__11947.EXE
    delref %SystemDrive%\USERS\KUKIN_RA\APPDATA\LOCAL\TEMP\AMISETUP5404__13749.EXE
    delref %SystemDrive%\USERS\KUKIN_RA\APPDATA\LOCAL\TEMP\AMISETUP9398__13749.EXE
    zoo %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER6.BAT
    delall %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER6.BAT
    delref %SystemDrive%\USERS\KUKIN_RA\APPDATA\LOCAL\TEMP\{E9513610-F218-4DDA-B954-2C7E6BA7CABB}\IDRIVER.NONELEVATED.EXE
    delall %SystemDrive%\USERS\KUKIN_RA\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTERNET EXPLORER.LNK
    delref %SystemDrive%\USERS\KUKIN_RA\APPDATA\LOCAL\TEMP\WINDOWSUPDATEKB12695__7428_IL310451.EXE
    zoo %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\45.0.2454.93\RESOURCES.PAK
    zoo %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER0.BAT
    delall %SystemDrive%\PROGRAMDATA\BROWSERS\BROWSER0.BAT
    deltmp
    regt 28
    restart
    czoo
    Сделайте новый полный образ автозапуска uVS. Если не будет хватать места для вложений на форуме, закачайте образ на файлообменник http://rghost.ru/ ссылку с результатом загрузки опубликуйте в следующем сообщении.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    17.02.2014
    Сообщений
    31
    Вес репутации
    37
    Выполнил скрипт, сделал снова полный образ автозапуска, вот ссылка http://rghost.ru/8yYKTkqhh
    P.S. после выполнения скрипта появился архив ZOO_...., не пустой, прикреплять ли его? В инструкции "как выполнить скрипт в UVS" сказано, что его надо прислать по ссылке "прислать запрошенный карантин", но у меня не получилось, ругается на расширение архива(доступно для загрузки только .zip)

  19. #13
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Обойдемся без карантина.

    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    Что с проблемой ?
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  20. Это понравилось:


  21. #14
    Junior Member Репутация
    Регистрация
    17.02.2014
    Сообщений
    31
    Вес репутации
    37
    Выполнил скрипт, в логе было 3 ссылки (IE, MSMXL, Java), все установил и перезагрузил компьютер.
    Выполнил скрипт снова, нового файла лога не было создано, но результат в AVZ отображается не совсем корректно - вместо сообщения, в появляющемся текстбоксе много знаков вопроса(примерно выглядит ?????? ??????????? ?? ??????). Я думаю, это проблема кодировки и там скорее всего написано, что уязвимостей не найдено.
    По проблемам: в IE теперь все в порядке, никаких "левых" страниц, начальная страница грузится, как выставлено в настройках. В google chrome пока тоже не удалось обнаружить каких-либо отклонений. Посторонние программы(opera, crossbrowser) больше не устанавливаются.

  22. #15
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  23. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 23
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\kukin_ra\appdata\local\smartweb\smartweba pp.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845 )
      2. c:\users\kukin_ra\appdata\local\smartweb\swhk.dll - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: Adware.Shopper.845, AVAST4: Win32:BHO-AOK [Adw] )


  • Уважаемый(ая) kpiok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Открытие сторонних ссылок в браузере
      От darthgrinder в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 16.06.2015, 23:54
    2. Ответов: 5
      Последнее сообщение: 08.05.2011, 22:56
    3. Ответов: 7
      Последнее сообщение: 04.05.2011, 17:48
    4. Ответов: 5
      Последнее сообщение: 20.02.2011, 18:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01180 seconds with 17 queries