Показано с 1 по 14 из 14.

Рекламы, редиректы, подмена сайтов [not-a-virus:Downloader.Win32.LMN.afw ] (заявка № 195342)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    08.10.2015
    Сообщений
    10
    Вес репутации
    9

    Рекламы, редиректы, подмена сайтов [not-a-virus:Downloader.Win32.LMN.afw ]

    С Новым Годом, вас, мастера!
    Суть моей проблемы: При работе в браузере постоянно выскакивает реклама, перенаправления на рекламные сайты, а так же сайты, знакомые мне, к примеру, Банк, выглядят по другому(реклама всякая там).
    Dr.web cureit (под безопасным режимом) не спас.
    Все логи прикрепил.
    Надеюсь на вашу, помощь в лечении.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) spysites, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,435
    Вес репутации
    730
    Здравствуйте!

    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     QuarantineFile('C:\iexplore.bat', '');
     QuarantineFile('C:\Users\???????\AppData\Roaming\NJZYDR.exe', '');
     QuarantineFile('C:\Users\Василий\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '');
     QuarantineFile('C:\Users\Василий\AppData\Local\Virtual Buzz\{55C9F768-A058-B23C-D8CE-BEB4DD955965}\bfl.dll', '');
     QuarantineFile('C:\Users\Василий\AppData\Local\Virtual Buzz\{55C9F768-A058-B23C-D8CE-BEB4DD955965}\VirtualBuzz.dll', '');
     DeleteFile('C:\Windows\Tasks\NJZYDR.job', '32');
     DeleteFile('C:\iexplore.bat', '32');
     DeleteFile('C:\Users\???????\AppData\Roaming\NJZYDR.exe', '32');
     DeleteFile('C:\Users\Василий\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '32');
     ExecuteFile('schtasks.exe', '/delete /TN "{91DF32DC-D909-4DDC-8516-9101C47CA7A5}" /F', 0, 15000, true);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteRepair(1);
     ExecuteRepair(2);
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    - сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    08.10.2015
    Сообщений
    10
    Вес репутации
    9
    Выполнил ваши инструкции.
    Результаты прикрепил.
    Карантин прислал.
    http://virusinfo.info/virusdetector/...4B54485DAD0A95
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,435
    Вес репутации
    730
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     QuarantineFile('C:\Users\Василий\Favorites\Links\Интернет.url', '');
     QuarantineFile('C:\Users\Василий\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.exe', '');
     QuarantineFile('C:\Users\Василий\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '');
     QuarantineFileF('C:\Users\Василий\AppData\Local\Virtual Buzz\{55C9F768-A058-B23C-D8CE-BEB4DD955965}\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     QuarantineFile('C:\Users\Василий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', '');
     QuarantineFile('C:\Users\Василий\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.lnk', '');
     QuarantineFile('C:\Users\Василий\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
     QuarantineFile('C:\Program Files\Internet Explorer\iexplore.bat', '');
     DeleteFile('C:\Users\Василий\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '32');
     DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat');
     DeleteFile('C:\Users\Василий\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.exe');
     DeleteFile('C:\Users\Василий\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.ico');
     DeleteFile('C:\Users\Василий\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico');
     DeleteFile('C:\Users\Василий\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe');
     DeleteFile('C:\Users\Василий\Favorites\Links\Интернет.url');
     DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat', '');
     ExecuteFile('schtasks.exe', '/delete /TN "{91DF32DC-D909-4DDC-8516-9101C47CA7A5}" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "{5B7B5407-975A-4C8A-90AE-CF2B38C0336D}" /F', 0, 15000, true);
     DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код:
    C:\Users\Василий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk
    C:\Users\Василий\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.lnk
    C:\Users\Василий\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
    C:\Users\Василий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk
    C:\Users\Василий\AppData\Roaming\Autodesk\AutoCAD 2013 — Русский\R19.0\rus\Recent\Выбор файла\attrib.dwg.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter\GDSMux.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter\Uninstall.lnk
    C:\Users\Василий\Favorites\Links\Интернет.url
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    08.10.2015
    Сообщений
    10
    Вес репутации
    9
    Добрый вечер.
    Карантин прислал.
    Отчеты и логи прикрепил.
    Куда то насовсем исчез Internet Explorer. Его же можно будет вернуть ?
    Вложения Вложения
    Последний раз редактировалось spysites; 05.01.2016 в 23:28.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,435
    Вес репутации
    730
    Код:
    c:\users\василий\appdata\local\microsoft\start menu\Войти в Интернет.LNK
    Удалите вручную.

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки отметьте:
      • Сброс политик IE
      • Сброс политик Chrome
    • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


    Цитата Сообщение от spysites Посмотреть сообщение
    Куда то насовсем исчез Internet Explorer. Его же можно будет вернуть ?
    может просто удалился подменный вирусом ярлык .
    Создайте новый ярлык и всё.

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    08.10.2015
    Сообщений
    10
    Вес репутации
    9
    Цитата Сообщение от regist Посмотреть сообщение
    Код:
    c:\users\василий\appdata\local\microsoft\start menu\Войти в Интернет.LNK
    Удалите вручную.
    По данному пути ничего не обнаружил. Папки start menu нету.


    Цитата Сообщение от regist Посмотреть сообщение
    может просто удалился подменный вирусом ярлык .
    Создайте новый ярлык и всё.
    Нет, Internet Explorer почему то удалился совсем. Его папка в C:/Program Files/Internet Explorer/ содержит только 1 файл.
    И через Пуск его не видно.
    Помогите пожалуйста и с IE, куда он мог подеваться, был очень важен (видеонаблюдение только через него просматривается)
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,435
    Вес репутации
    730
    Цитата Сообщение от spysites Посмотреть сообщение
    Папки start menu нету.
    Есть просто она скрытая.

    Цитата Сообщение от spysites Посмотреть сообщение
    Нет, Internet Explorer почему то удалился совсем.
    Мы его не трогали, только ярлык который вместо его запуска ввёл за запуск вирусного батника.
    Код:
    C:\Program Files\Internet Explorer\iexplore.bat
    А сам по себе он никуда исчезнуть не мог. Если до этого был (и вы его не удаляли), то значит и сейчас там же.

    - - - - -Добавлено - - - - -

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.


    что с проблемой?

    А насчёт IE нажмите Windows + R - введите iexplore.exe
    Если запустится, то потом поищите его в
    Код:
    C:\Program Files\Internet Explorer\iexplore.exe

  11. #10
    Junior Member (OID) Репутация
    Регистрация
    08.10.2015
    Сообщений
    10
    Вес репутации
    9
    А говорите не трогали и не удаляли.
    Если я не ошибаюсь то отмеченные мной строки удаляют всю директорию IE.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,435
    Вес репутации
    730
    1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
      • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
      • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)

    2. Введите sfc /scannow и нажмите Энтер.
    3. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
    4. После того как закончится проверка в командной строке введите команду:
      Код:
      findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
    5. После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

  13. #12
    Junior Member (OID) Репутация
    Регистрация
    08.10.2015
    Сообщений
    10
    Вес репутации
    9
    sfc /scannow вроде все поправил.
    Прикрепил файл логов.
    А как быть с папкой c:\users\василий\appdata\local\microsoft\start menu\Войти в Интернет.LNK
    Как ее увидеть что бы удалить? Отображение скрытых файлов/папок включено.
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,435
    Вес репутации
    730
    Цитата Сообщение от spysites Посмотреть сообщение
    А как быть с папкой c:\users\василий\appdata\local\microsoft\start menu\Войти в Интернет.LNK
    Как ее увидеть что бы удалить? Отображение скрытых файлов/папок включено.
    Папку трогать не надо, там ярлыки из меню пуск, а сам ярлык давайте тогда скриптом дочистим

    Код:
    begin
     DeleteFile('c:\users\василий\appdata\local\microsoft\start menu\Войти в Интернет.LNK');  
    end.
    Проблем больше нет?

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 32
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\василий\appdata\local\microsoft\start menu\вoйти в интeрнeт 2inf.net.exe - not-a-virus:Downloader.Win32.LMN.afw ( DrWEB: Trojan.LoadMoney.491 )
      2. c:\users\василий\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw ( DrWEB: Trojan.LoadMoney.491 )


  • Уважаемый(ая) spysites, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подмена рекламы
      От mexica в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 17.08.2014, 13:08
    2. Подмена рекламы на разных сайтах.
      От trueshum в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.07.2014, 19:26
    3. подмена рекламы в контакте
      От gin_sea в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 08.12.2013, 15:05
    4. Ответов: 6
      Последнее сообщение: 05.08.2013, 12:01
    5. Ответов: 6
      Последнее сообщение: 11.05.2013, 22:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00531 seconds with 17 queries