Показано с 1 по 9 из 9.

Спамерские баннеры на страницах браузера [not-a-virus:NetTool.Win64.NetFilter.l, not-a-virus:WebToolbar.Win32.Neobar.k ] (заявка № 197387)

  1. #1
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    15
    Вес репутации
    11

    Спамерские баннеры на страницах браузера [not-a-virus:NetTool.Win64.NetFilter.l, not-a-virus:WebToolbar.Win32.Neobar.k ]

    Здравствуйте!

    Скачал файл установки программы с неофициального сайта. На страницах в браузере (хром) стали выскакивать нежелательные спамерские баннеры.

    С помощью cureIt обнаружил наличие трояна и изменения в файле hosts. После очистки новые проверки вирусов не выявили, однако проблема не исчезла.

    С помощью CCleaner почистил кэш браузера. Не помогло.

    Не могли бы вы помочь разобраться? Прилагаю файлы логов диагностики AVZ и Hijack.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    343
    Уважаемый(ая) strelf1, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,125
    Вес репутации
    846
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('C:\Program Files\ContentProtector\ContentProtector.exe');
     TerminateProcessByName('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe');
     StopService('ContentProtector');
     StopService('ContentProtectorUpdate');
     StopService('ContentProtectorDrv');
     QuarantineFileF('C:\Program Files\ContentProtector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
     QuarantineFileF('C:\Users\Сергей\appdata\roaming\texteditor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
     QuarantineFile('C:\Program Files\ContentProtector\ContentProtector.exe', '');
     QuarantineFile('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe', '');
     QuarantineFile('C:\WINDOWS\system32\drivers\ContentProtectorDrv.sys', '');
     QuarantineFile('C:\Users\Сергей\appdata\roaming\texteditor\daemon\texteditor.exe', '');
     DeleteFile('C:\Program Files\ContentProtector\ContentProtector.exe', '32');
     DeleteFile('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe', '32');
     DeleteFile('C:\WINDOWS\system32\drivers\ContentProtectorDrv.sys', '32');
     DeleteFile('C:\Users\Сергей\appdata\roaming\texteditor\daemon\texteditor.exe', '32');
     DeleteService('ContentProtector');
     DeleteService('ContentProtectorUpdate');
     DeleteService('ContentProtectorDrv');
     DeleteFileMask('C:\Program Files\ContentProtector', '*', true);
     DeleteFileMask('C:\Users\Сергей\appdata\roaming\texteditor', '*', true);
     DeleteDirectory('C:\Program Files\ContentProtector');
     DeleteDirectory('C:\Users\Сергей\appdata\roaming\texteditor');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    15
    Вес репутации
    11
    Выполнил все указания.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,125
    Вес репутации
    846
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    SearchScopes: HKU\S-1-5-21-2786167329-612729444-3866329792-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B99F02B8D-3B85-445D-A6A3-0CDA4260BDFD%7D&gp=820036
    BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Сергей\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2016-02-20] (Mail.Ru)
    SearchScopes: HKU\S-1-5-21-2786167329-612729444-3866329792-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B99F02B8D-3B85-445D-A6A3-0CDA4260BDFD%7D&gp=820036
    FF DefaultSearchEngine: Поиск@Mail.Ru
    FF SelectedSearchEngine: Поиск@Mail.Ru
    FF Homepage: hxxp://mail.ru/cnt/10445?gp=820031
    FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7BE84B0FF0-64F4-418B-A7E1-5BC8B14218A3%7D&gp=820036
    FF Extension: Домашняя страница Mail.Ru - C:\Users\Сергей\AppData\Roaming\Mozilla\Firefox\Profiles\49ynm8gr.default\Extensions\homepage@mail.ru [2016-02-20]
    FF Extension: Поиск@Mail.Ru - C:\Users\Сергей\AppData\Roaming\Mozilla\Firefox\Profiles\49ynm8gr.default\Extensions\search@mail.ru [2016-02-20]
    FF Extension: Визуальные закладки @Mail.Ru - C:\Users\Сергей\AppData\Roaming\Mozilla\Firefox\Profiles\49ynm8gr.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-02-20]
    CHR HomePage: Default -> mail.ru/cnt/11956636?gp=820031
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820031"
    CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
    2016-02-20 22:49 - 2016-02-20 22:49 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ContentProtector
    2016-02-20 22:36 - 2016-02-20 22:36 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\MailProducts
    2016-02-20 22:35 - 2016-02-20 22:35 - 00000000 ____D C:\Program Files (x86)\87684081-1455996915-11CB-A5D0-D4711701B682
    2016-02-20 22:34 - 2016-02-20 23:07 - 00000000 ____D C:\Users\Сергей\AppData\Local\Mail.Ru
    2016-02-20 22:34 - 2016-02-20 23:07 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
    2016-02-20 22:33 - 2016-02-20 23:07 - 00000000 ____D C:\Users\Сергей\AppData\Local\SaveYouTime
    2016-02-20 22:33 - 2016-02-20 23:07 - 00000000 ____D C:\ProgramData\Mail.Ru
    2016-02-20 22:33 - 2016-02-20 22:34 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\FastVKOpen
    2016-02-20 22:33 - 2016-02-16 20:13 - 00058200 _____ C:\WINDOWS\system32\Drivers\ContentProtectorDrv.sys
    Task: {9B09A00B-5B9D-47E6-B1D9-3D2AFB029C0A} - \Pokki -> No File <==== ATTENTION
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ContentProtector
    C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Меню Пуск.lnk
    Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ContentProtector" /f
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемой.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    15
    Вес репутации
    11
    Проблема ушла. Большое спасибо!
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,125
    Вес репутации
    846
    Удалите Java(TM) 6 Update, это устаревшая версия со множеством критических уязвимостей.

    Java SE Development Kit 8 Update 51 обновите до Java SE 8u73.

    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    15
    Вес репутации
    11
    Удалил, поставил и, согласно рекомендациям, запустил скрипт по поиску уязвимостей (не найдены).

    Ещё раз спасибо!

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\contentprotector\condefclean.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      2. c:\program files\contentprotector\condefupdateps.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      3. c:\program files\contentprotector\conprotsetup.exe - not-a-virus:NetTool.Win64.NetFilter.l
      4. c:\program files\contentprotector\contentprotectorconrol.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      5. c:\program files\contentprotector\contentprotector.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      6. c:\program files\contentprotector\contentprotectorupdate.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      7. c:\program files\contentprotector\import_root_cert.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      8. c:\program files\contentprotector\libeay32.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      9. c:\program files\contentprotector\nfregdrv.exe - not-a-virus:AdWare.Win64.Agent.iqi
      10. c:\program files\contentprotector\nss\certutil.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      11. c:\program files\contentprotector\nss\mozcrt19.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      12. c:\program files\contentprotector\nss\nspr4.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      13. c:\program files\contentprotector\nss\nss3.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      14. c:\program files\contentprotector\nss\plc4.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      15. c:\program files\contentprotector\nss\plds4.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      16. c:\program files\contentprotector\nss\smime3.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      17. c:\program files\contentprotector\nss\softokn3.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      18. c:\program files\contentprotector\ssleay32.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
      19. c:\users\сергей\appdata\roaming\texteditor\daemon\ texteditor.exe - not-a-virus:WebToolbar.Win32.Neobar.k
      20. c:\windows\system32\drivers\contentprotectordrv.sy s - not-a-virus:NetTool.Win32.NetFilter.v


  • Уважаемый(ая) strelf1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 29.08.2014, 15:03
    2. Рекламные баннеры на всех страницах
      От pashatag в разделе Помогите!
      Ответов: 36
      Последнее сообщение: 26.11.2013, 07:37
    3. Рекламные баннеры на всех страницах
      От kiza09 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.04.2013, 07:18
    4. Ответов: 6
      Последнее сообщение: 16.01.2013, 17:51
    5. Баннеры с рекламой на страницах сайтов.
      От kenik kenik в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.01.2013, 12:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01045 seconds with 17 queries