-
Junior Member
- Вес репутации
- 32
Реклама и Redirect'ы в браузере Chrome. [not-a-virus:AdWare.Win32.VisualProtect.a, not-a-virus:AdWare.Win32.VisualProtect.l
]
В процессе работы в интернете, на компьютер без моего ведома установился непонятный софт, который я удалил в том числе там был и VSprotect. (VSprotectProxy.exe32) висит в процессах и не удаляется из них. Был также Fastoplayer. Который я снёс. А также папки с ним.
После выполнял полную проверку на вирусы в Касперском, он нашёл связанные файлы с тем софтом что я удалил и вылечил их посредством удаления. Но Редиректы и угоны остались. Более того сейчас появились рекламные вставки и баннеры короче вирус размножается и прогрессирует Дошло то того что уже межстрочный интервал летит к чертям в записях в браузере. (в chrome установлено расширение Adblock. ссылки он блокирует, а вот место под эти баннеры остаётся как не заполненная область в браузере).
После чего, я понял что нужно искать решение проблемы на вашем форуме. Но к сожалению не имел возможности сделать это в кратчайшие сроки - был в отъезде, а компьютером пользовались в моё отсутствие и от не знания действительных причин решили почистить его CCleaner'om скачанным на непонятных ресурсах, в месте с ним снова установилась порция непонятных программ, а также после чистки и правки реестра был нанесёт ущерб системе, не работали основные функциональные возможности, такие как перезагрузка, компьютер вис на перезагрузке в тот момент когда система сохраняет файлы. Также не было панели задач, что-то случилось с правами администратора и множество других вещей, попытался сделать откат системы через безопасный режим, это еще более усугубило положение, Спас отладочный режим из меню F8 он восстановил систему в рабочее состояние. Но работает она с проблемами. Сделал, всё как положено у вас в инструкции на форуме перед тем как создать тему.
Помогите пожалуйста привести систему на рабочий лад, Спасибо!
Похожие случаи:
https://forum.kasperskyclub.ru/index.php?showtopic=47717
http://virusinfo.info/showthread.php?t=189541
Последний раз редактировалось Suba; 19.09.2015 в 11:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Suba, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):
Код:
begin
TerminateProcessByName('c:\program files (x86)\fastoplayer\vsupdater.exe');
TerminateProcessByName('c:\program files (x86)\visual protect service\vsprotectproxy.exe');
ClearQuarantine;
QuarantineFile('C:\Users\Suba\AppData\Local\cobunce\config.json','');
QuarantineFile('C:\Users\Suba\AppData\Local\cobunce\stub.exe','');
QuarantineFile('C:\Program Files (x86)\FastoPlayer\VSUpdater.exe','');
QuarantineFile('C:\Program Files (x86)\Visual Protect Service\vsprotectproxy.exe','');
QuarantineFile('C:\Windows\system32\VSProtectProxy.dll','');
QuarantineFile('c:\program files (x86)\fastoplayer\vsupdater.exe','');
QuarantineFile('c:\program files (x86)\visual protect service\vsprotectproxy.exe','');
StopService('VSProtectProxy');
StopService('VSUpdater');
SetServiceStart('VSProtectProxy', 4);
SetServiceStart('VSUpdater', 4);
DeleteService('VSUpdater');
DeleteService('VSProtectProxy');
DeleteFile('c:\program files (x86)\visual protect service\vsprotectproxy.exe','32');
DeleteFile('c:\program files (x86)\fastoplayer\vsupdater.exe','32');
DeleteFile('C:\Windows\system32\VSProtectProxy.dll','32');
DeleteFile('C:\Program Files (x86)\Visual Protect Service\vsprotectproxy.exe','32');
DeleteFile('C:\Program Files (x86)\FastoPlayer\VSUpdater.exe','32');
DeleteFile('C:\Users\Suba\AppData\Local\cobunce\stub.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cobunce');
DeleteFile('C:\Users\Suba\AppData\Local\cobunce\config.json','32');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
После выполнения скрипта возможно нарушение работы компьютера с сетью.
Будьте готовы к этому. (нужно чтобы были другие средства связи вас и нашего форума)
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" правил) и приложите в теме.
Подготовьте лог AdwCleaner
http://virusinfo.info/showthread.php...=1#post1041844
и приложите его в теме.
-
-
Junior Member
- Вес репутации
- 32
Доброго времени суток, сделал всё выше запрошенное,зверь как вы и предполагали потерял связь с сетью. Карантин отправил как было указано по красной ссылке.
Файл сохранён как 150920_184341_quarantine_55fec61dcd4bf.zip
Размер файла 2572767
MD5 5cee5608fc33571a054841a36bdbe7b6
Прилагаю запрошенные логи AVZ и adwcleaner.
-
Удалите все найденное в AdwCleaner.
Как удалить:
http://virusinfo.info/showthread.php...=1#post1041864
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):
Код:
begin
ExecuteRepair(14);
RebootWindows(true);
end.
Компьютер перезагрузится.
Проверьте работу с сетью.
-
-
Junior Member
- Вес репутации
- 32
Сделано, компьютер выходит в интернет. Пишу вам с него.
Удалил найденное в Adwcleaner.
Чекнул Chrome, ушли баннеры вернулся на место межстрочный интервал, но при работе в chrome редиректы остались, также еще браузер "угоняют" когда нажимаешь Play/Stop в видеозаписях. (Проверено на этих ресурсах - twitch, youtube, vk).
-
В Хроме проверьте установленные расширения. Если есть неизвестные/подозрительные - удалите.
В IE тоже проблема наблюдается?
Интернет через роутер (маршрутизатор) подключен?
Можете войти в веб-интерфейс роутера под аккаунтом администратора?
Как войти смотрите в инвструкции к нему. Или в инструкции провайдера, предоставившего вам роутер.
-
-
Junior Member
- Вес репутации
- 32
Продолжение борьбы с угонами.
Чекнул, по вашим указаниям расширения и к моему удивлению обнаружил там "cobounce", раньше его там не наблюдал и сам такое приложение я не устанавливал. Отключил его и удалил. Перезагрузил Chrome удалил Cookie и историю. Настройки браузера на стандартные не сбрасывал.
Сделал еще раз сканирование в adwcleaner'e он повторно нашёл кучу записей в реестре связанных с VSprotectProxy.exe
А также пару заражённых ярлыков и сценариев. Вообщем все удалил с помощью этой программы.
Сделал Перезагрузку, проверил работу: IE explorer и chrome угонов и баннеров после чистки, не замечено.
Вроде всё работает, на счёт системы не знаю пока, проблем не заметил.
Запросил у друга логин и пароль для входа в лан интерфейс маршрутизатора. (К интернету подключен через маршрутизатор D-LINK DIR300.) Доступ осуществляется через окно бразуера - http://192.168.0.1/login
Не закрывайте тему пожалуйста, я гляну получу доступ до роутера, и заодно понаблюдаю за работой бразуера на наличие угонов..
Последний раз редактировалось Suba; 24.09.2015 в 22:45.
-
Если проблем больше нет, можно заканчивать на этом.
-
-
Junior Member
- Вес репутации
- 32
Снова редирект.
После мониторинга работы в "Chrome" всё же нашлись угоны на 3 злостных сайта, сегодня мне обещали предоставить доступ к маршрутизатору, на что обратить внимание там?
-
На настройки DNS.
В IE тоже надстройки и расширения посмотрите.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\fastoplayer\vsupdater.exe - not-a-virus:AdWare.Win32.VisualProtect.a ( BitDefender: Gen:Trojan.Heur.JP.9G0@auZne@li, AVAST4: Win32:Dropper-gen [Drp] )
- c:\windows\system32\vsprotectproxy.dll - not-a-virus:AdWare.Win32.VisualProtect.l
-