Показано с 1 по 13 из 13.

Рекламные вирусы (трояны) с сайта http://bbup.ru (заявка № 202849)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    08.08.2016
    Сообщений
    9
    Вес репутации
    6

    Рекламные вирусы (трояны) с сайта http://bbup.ru

    Здравствуйте!
    Мой антивирус на момент заражения: ESET SMART SECURITY 8. Система 64 разрядная. По ссылке hxxp://lshields.ru/l скачал архив с икзешником. Антивирус не ругался на архив, так как до момента заражения я вручную отключил все компоненты защиты, и забыл включить вновь. Запустив программу по ссылке, 02.08.2016 обнаружил множество рекламных приложений, ссылок, замена страниц в браузере и т.д. Пробовал лечить NOD 32 и Malwerebytes Anti-Malware, часть вылечил, но периодически вновь появляются PUP.Optional.Kometa, папка YandexBrowser (причем никогда этот браузер не устанавливал) в корне AppData и др. нежелательное ПО, которое идентифицируется Malwerebytes Anti-Malware.
    Вложения Вложения
    Последний раз редактировалось Vvvyg; 10.08.2016 в 20:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) Арсений Исаев, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member (OID) Репутация
    Регистрация
    08.08.2016
    Сообщений
    9
    Вес репутации
    6
    Логи программы Malwerebytes Anti-Malware.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,883
    Вес репутации
    843
    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFileF('c:\users\rza\appdata\roaming\adobe\nativeplugin\ooba\ppapi\c484d5c6-b72e-4f82-a757-633b4be7b2d6', '*', true, '', 0 , 0);
     QuarantineFile('mrupdsrv.sys', '');
     QuarantineFile('C:\Users\RZA\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\C484D5C6-B72E-4F82-A757-633B4BE7B2D6\A1029A8C-874E-4532-8C7F-008AF235305C.exe', '');
     QuarantineFile('C:\Users\RZA\AppData\Local\Microsoft\A6E9301075A1050576580F103551BAE8\FDF23BA3DF2547BC095CAFFAB4041D8D.exe', '');
     QuarantineFile('C:\Users\RZA\AppData\Local\Mail.Ru\MailRuUpdater.exe', '');
     DeleteFile('mrupdsrv.sys', '32');
     DeleteFile('C:\Users\RZA\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\C484D5C6-B72E-4F82-A757-633B4BE7B2D6\A1029A8C-874E-4532-8C7F-008AF235305C.exe', '32');
     DeleteFile('C:\Users\RZA\AppData\Local\Microsoft\A6E9301075A1050576580F103551BAE8\FDF23BA3DF2547BC095CAFFAB4041D8D.exe', '32');
     DeleteFile('C:\Users\RZA\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32');
     DeleteService('mrupdsrv');
     DeleteFileMask('c:\users\rza\appdata\local\microsoft\a6e9301075a1050576580f103551bae8', '*', true);
     DeleteFileMask('c:\users\rza\appdata\local\mail.ru', '*', true);
     DeleteDirectory('c:\users\rza\appdata\local\microsoft\a6e9301075a1050576580f103551bae8');
     DeleteDirectory('c:\users\rza\appdata\local\mail.ru');
     ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdater" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\041D8D4BAFFAC590CB7452FD3AFDF23B" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\041D8D4BAFFAC590CB7452FD3AFDF23BSB" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\041D8D4BAFFAC590CB7452FD3AFDF23B" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\041D8D4BAFFAC590CB7452FD3AFDF23BSB" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AC484D5C6-B72E-4F82-A757-633B4BE7B2D6" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'C484D5C6-B72E-4F82-A757-633B4BE7B2D6');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '041D8D4BAFFAC590CB7452FD3AFDF23BSB');
    ExecuteSysClean;
     ExecuteRepair(1);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).
    WBR,
    Vadim

  6. Это понравилось:


  7. #5
    Junior Member (OID) Репутация
    Регистрация
    08.08.2016
    Сообщений
    9
    Вес репутации
    6
    Сделал.
    Вложения Вложения

  8. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,883
    Вес репутации
    843
    Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
    Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
    WBR,
    Vadim

  9. Это понравилось:


  10. #7
    Junior Member (OID) Репутация
    Регистрация
    08.08.2016
    Сообщений
    9
    Вес репутации
    6
    Здравствуйте. Логи Adw Cleaner:
    1. Первый лог до очищения кэша и cookies-файлов браузеров
    2. Второй лог после очищения кэша и cookies-файлов (чистил с помощью CCleaner по инструкции с данного сайта) и запуска и отключения Opera 39.0.
    MBAM полная проверка с новыми базами 0 зараженных файлов.
    Как видно из последнего лога Adw Cleaner находит файл C:\Users\RZA\AppData\Roaming\Opera Software\Opera Stable\Local Extension Settings\ihbiedpeaicgipncdnnkikeehnjiddck. Пробовал делать очистку, но при перезагрузке и повторном сканировании, все равно обнаруживается средствами Adw Cleaner данный файл.
    Вложения Вложения
    Последний раз редактировалось Арсений Исаев; 10.08.2016 в 16:22.

  11. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,883
    Вес репутации
    843
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Кроме уже установленных, отметьте галочками также "90 Days Files".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  12. #9
    Junior Member (OID) Репутация
    Регистрация
    08.08.2016
    Сообщений
    9
    Вес репутации
    6
    Все сделал
    Вложения Вложения

  13. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,883
    Вес репутации
    843
    Не вижу этого расширения в Опере.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-1048257828-1040429118-1263983042-1000\...\Run: [Clownfish] => 0
    HKU\S-1-5-21-1048257828-1040429118-1263983042-1000\...\Policies\Explorer: [] 
    ShellExecuteHooks-x32:  - {A5BE62CA-DE0F-4764-A0CB-4044816DB174} -  No File [ ]
    ShortcutTarget: CodecPackUpdateChecker.lnk -> C:\Windows\SysWOW64\C2MP\UpdateChecker.exe (No File)
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    S2 clr_optimization_v1.02; no ImagePath
    S2 tuEaglesService; no ImagePath
    2016-08-05 19:19 - 2016-08-05 19:19 - 0000124 ___SH () C:\Program Files (x86)\Common Files\SBEXTS
    Task: {6C43C9AD-E120-4516-A82E-95D81707A2F0} - \Программа онлайн-обновления Adobe. -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\Temp:25C47B05 [336]
    AlternateDataStreams: C:\ProgramData\Temp:58A5270D [144]
    AlternateDataStreams: C:\ProgramData\Temp:8ABBFC3E [116]
    AlternateDataStreams: C:\ProgramData\Temp:D8999815 [149]
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tuEaglesService => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tuEaglesService => ""="Service"
    S2 eglFS; no ImagePath
    S2 eglNokl; no ImagePath
    S2 eglPS; no ImagePath
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемами.
    WBR,
    Vadim

  14. Это понравилось:


  15. #11
    Junior Member (OID) Репутация
    Регистрация
    08.08.2016
    Сообщений
    9
    Вес репутации
    6
    Сделал все операции, но Adw Cleaner все равно почему-то диагностирует данный файл, который по пути: C:\Users\RZA\AppData\Roaming\Opera Software\Opera Stable\Local Extension Settings\ihbiedpeaicgipncdnnkikeehnjiddck. Это расширение Up Fast в опере, которое я не устанавливал. Попробую удалить через настройки расширений браузера.
    MBAM все нормально, ни одного объекта при полной проверке.

    - - - - -Добавлено - - - - -

    Получилось удалить данное расширение через оперу. Adw cleaner не находит никаких вирусов сейчас. Спасибо, проблема решена!
    Изображения Изображения
    Вложения Вложения

  16. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,883
    Вес репутации
    843
    Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.

  17. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Арсений Исаев, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Скачал прогу с этого сайта http://www.anvir.net/
      От Денис Литвиненко в разделе Помогите!
      Ответов: 28
      Последнее сообщение: 15.08.2016, 19:22
    2. Ответов: 2
      Последнее сообщение: 20.04.2016, 09:17
    3. Рекламные вирусы и трояны
      От AlexPS в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.08.2015, 18:30
    4. Автозагрузка сайта http://gameharbor.org/
      От Gorkavchenko в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 02.06.2014, 21:08
    5. Ответов: 12
      Последнее сообщение: 22.12.2012, 21:03

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00799 seconds with 17 queries