Автоматическая переадресация в браузерах на adf.ly

**Viki89** · 17.11.2015, 01:57

Добрый день! Столкнулась с такой проблемой - браузеры автоматически перебрасывают на некий сайт adf.ly . Что меня достаточно удивило, именно не далее как на этой неделе боролась и победила с другим подобным "захватчиком" браузеров PageGo, то есть глобально чистила систему. А вот adf более живуч, антивирусы ничего не показывают, настройки в браузерах вроде не изменены. Я прочитала правила оформления заявки и сделала все по инструкции, НО!!!!! у меня в папке с AVZ нету файла syscheck.zip, попробовала два раза включить и выключить интернет, чтобы с проверить как у вас указано с подключением, и все равно. С телефона заскринила папку Log где нету этого файла, я не тролль)
Помогите пожалуйста!
Заранее спасибо!
P.s Я сейчас нахожусь не в России, во Франции. Есть подозрение, что это какая-то их феня ибо сайт на французском.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.11.2015, 02:01

Уважаемый(ая) Viki89, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 17.11.2015, 09:41

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\cc056a91-1447611428-578c-9a09-21d6c95b49c3\jnsy4a88.tmp');
 TerminateProcessByName('c:\program files (x86)\cc056a91-1447611428-578c-9a09-21d6c95b49c3\hnsn7b0b.tmp');
 StopService('xeriretu');
 QuarantineFile('c:\program files (x86)\cc056a91-1447611428-578c-9a09-21d6c95b49c3\jnsy4a88.tmp', '');
 QuarantineFile('c:\program files (x86)\cc056a91-1447611428-578c-9a09-21d6c95b49c3\hnsn7b0b.tmp', '');
 DeleteFile('c:\program files (x86)\cc056a91-1447611428-578c-9a09-21d6c95b49c3\hnsn7b0b.tmp', '32');
 DeleteFile('C:\Program Files (x86)\CC056A91-1447611428-578C-9A09-21D6C95B49C3\jnsy4A88.tmp', '32');
 DeleteService('xeriretu');
 DeleteFileMask('C:\Program Files (x86)\CC056A91-1447611428-578C-9A09-21D6C95B49C3', '*', true);
 DeleteDirectory('C:\Program Files (x86)\CC056A91-1447611428-578C-9A09-21D6C95B49C3');
 DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(3);
 ExecuteRepair(23);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

Сделайте лог Check Browsers' LNK.

**Viki89** · 18.11.2015, 16:52

Попытка ответа номер два-) Спасибо вам за ответ! Все сделала, базы обновила. Карантин вам отправила, файлы логов всех прикреплены к этому сообщению. Выяснила как наглядно работает эта зараза, решив не переходить по ссылкам а сначала скопировать их адрес в другую вкладку. Просто до ссылки добавляется вот такая бяка http://adf.ly/246619/ .

**Vvvyg** · 18.11.2015, 19:54

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Viki89** · 19.11.2015, 17:51

Мне не дает перетащить лог в ClearLNK, когда перетаскиваю знак стоп ( Сфотографировала на телефон, фото прикрепила.
С Farbar вроде все сработало, но ситуация странная - когда запускаю программу высвечивается ошибка, при этом в дальнейшем программа нормально работает. Тоже фото прикрепила. Все отчеты также прикрепила.

**Vvvyg** · 19.11.2015, 19:39

Тогда делайте так.
Запустите утилиту ClearLNK, скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>> [script][RO][MASK] "C:\Users\Валерия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk"      -> ["C:\Program Files\Internet Explorer\iexplore.bat"] -> start "" /I /B /D"C:\PROGRA~1\INTERN~1\" "C:\PROGRA~1\INTERN~1\iexplore.exe" "hxxp://pagego.ru/?from=mru1"¶  (MD5:A71A0A2BB7373E7625045795828A5078)
>>> [script][RO][MASK] "C:\Users\Валерия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk"           -> ["C:\Program Files\Internet Explorer\iexplore.bat"] -> start "" /I /B /D"C:\PROGRA~1\INTERN~1\" "C:\PROGRA~1\INTERN~1\iexplore.exe" "hxxp://pagego.ru/?from=mru1"¶  (MD5:A71A0A2BB7373E7625045795828A5078)
>>> [script][RO][MASK] "C:\Users\Валерия\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk"      -> ["C:\Program Files\Internet Explorer\iexplore.bat"] -> start "" /I /B /D"C:\PROGRA~1\INTERN~1\" "C:\PROGRA~1\INTERN~1\iexplore.exe" "hxxp://pagego.ru/?from=mru1"¶  (MD5:A71A0A2BB7373E7625045795828A5078)
>>> [RO][MASK] "C:\Users\Валерия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk"   -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.bat"]
>>> [RO][MASK] "C:\Users\Валерия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk"          -> ["C:\Users\Валерия\AppData\Local\Yandex\YandexBrowser\Application\browser.bat"]
>>> [RO][MASK] "C:\Users\Валерия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk"   -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.bat"]
>>> [RO][MASK] "C:\Users\Валерия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk"           -> ["C:\Program Files (x86)\Opera\launcher.bat"]
>>> [RO][MASK] "C:\Users\Валерия\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk"      -> ["C:\Users\Валерия\AppData\Local\Yandex\YandexBrowser\Application\browser.bat"]
>>> [RO][MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk"          -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.bat"]

Отчёт о работе прикрепите.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\...\Winlogon: [Userinit] C:\Windows\SysWOW64\userinit.exe,
CHR StartupUrls: Default -> "hxxp://do-search.com/?type=hp&ts=1445383088&z=f808d2bda0e839a3e66e2c4g1z6z1w1c4b7cbe3b7b&from=dae&uid=applexssdxsm0256f_s1k4nyadb53117"
C:\Program Files\Internet Explorer\iexplore.bat
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Viki89** · 19.11.2015, 20:24

Все прикрепила) У меня после каких-то действий (не знаю точно, какая программа его сделала) появился файл Errors. На всякий случай его тоже прикрепила.
На некоторых сайтах проблема осталась до сих пор(

**Vvvyg** · 19.11.2015, 20:35

Запустите CCleaner64.exe, дождитесь, когда станут активными кнопки "Анализ" и "Очистка", перейдите на закладку "Приложения" (Applications), отметьте для Google Chrome пункты "Интернет-кэш", "Журнал посещённых сайтов", "Cookie", "Local Storage" и "Session storage", далее "Анализ" и "Очистка". Учтите, что удаление куки для сайтов с авторизацией повлечёт дальнейший вход с запросом пароля. В настройках CCleaner можно отметить куки, которые будут сохранены.

**Viki89** · 19.11.2015, 22:47

Сделала) Я это делаю чуть ли не каждый день, для безопасности.

**Vvvyg** · 19.11.2015, 23:02

Так всё-таки, только на определённых сайтах реклама, или на всех периодически?

**Viki89** · 20.11.2015, 00:02

На всех, где-то на 60% ссылках. Не могу понять, от чего это зависит...

**Vvvyg** · 20.11.2015, 00:23

Возможно, и провайдер подмешивает рекламу.
Выход в интернет через модем/роутер? Есть доступ к его настройкам?
Если да - какие DNS в нём прописаны?

**Viki89** · 20.11.2015, 00:34

Тогда вопросов больше нет - выход через вай-фай, но сеть общественная. Этим вероятно и объясняется французский язык этой бяки, а я то думала-гадала) Спасибо вам большое!!

**Vvvyg** · 20.11.2015, 08:23

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 20.11.2015, 08:33

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Автоматическая переадресация в браузерах на adf.ly (заявка № 192913)

Опции темы