Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Перебрасывает браузер на рекламную страницу (http://forum.oszone.net/showthread.php?t=249589)

TET.N 20-12-2012 14:13 2049656
Перебрасывает браузер на рекламную страницу
 
Вложений: 1
Помогите, пожалуйста.
Компьютер "домашний",Win XP,
при открытии страницы на сайтах выскакивает рекламное окно
"Реклама системы DataMind Посетите сайт спонсора чтобы продолжить просмотр сайта"

NOD обнаружил трояна-.Win32.Injector-изолировал
Dr.Web- трояна переместил;webaltasearch.dll, bandobjectlib.dll-без действий.
AVZ - чисто.
МВАМ обнаружил 13 вирусов- ничего пока не удаляла.
Проблема с браузером осталась.
Посмотрите, пожалуйста, логи и помогите прибить заразу.
Лог Хайджека в след.сообщении
Благодарю за помощь.

TET.N 20-12-2012 14:21 2049660
Лог хайджека не могу прикрепить к сообщению....
буду разбираться, что делаю не так...

alex_sev 20-12-2012 15:25 2049713
Цитата:
Цитата TET.N
Лог хайджека не могу прикрепить к сообщению....
буду разбираться, что делаю не так... »
Запакуйте в архив

Все найденное в MBAM удалите, кроме этого:

Код:
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

TET.N 20-12-2012 15:31 2049726
Вложений: 1
Спасибо за подсказку.
Посмотрите, пожалуйста лог.
Обнаружила, что меняется вид папок! из МВАМ сейчас поудаляю.

alex_sev 20-12-2012 15:58 2049742
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{DAC5944B-F843-4b90-B605-09DE3360CDE6}');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 DelBHO('{30F9B915-B755-4826-820B-08FBA6BD249D}');
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(21);
RebootWindows(true);
end.
Компьютер перезагрузится.

Далее:

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Подробнее читайте в руководстве.


+

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.

TET.N 20-12-2012 21:51 2050008
Вложений: 2
в MBAM файлы удалила, скрипт в АВЗ сделала,
Лог RSIT .Посмотрите, пожалуйста.

Копия содержимого файла SecurityCheck:

Security Check by glax24 version 0.1.5.48 rc1
WebSite: www.safezone.cc
DataLog 20.12.2012 19:28:44
Program directory: C:\Documents and Settings\Admin\Local Settings\temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.8
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lan:0419
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Загружать автоматически и уведомлять об установке обновлений
Дата установки обновлений: 2012-12-12 08:29:31
Automatic Updates (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Восстановление системы отключено
-------------Antivirus_WMI------------------------
ESET Smart Security 4.0
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------OtherUtilities-----------------------
CCleaner v.3.11
HijackThis 2.0.2 v.2.0.2
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 16 v.6.0.160 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.135
Adobe Flash Player 11 Plugin v.11.5.502.135
Adobe Reader 9.5.2 - Russian v.9.5.2 Внимание! Скачать обновления
Spelling Dictionaries Support For Adobe Reader 9 v.9.0.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.97
Opera 12.12 v.12.12.1707
-------------EndLog-------------------------------


принудительная реклама вроде де бы ушла.
еще какое-нибудь лечение нужно?

TET.N 21-12-2012 00:44 2050088
спасибо за помощь

alex_sev 21-12-2012 09:15 2050192
Установите обнвления по ссылкам из Вашего поста

+
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS


+
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe;
  3. Нажмите кнопку "Изменить параметры проверки";
  4. Установите все галочки, кроме "Объекты для проверки" - "Загруженные модули";
  5. Подтвердите изменение настроек нажатием кнопки "ОК";
  6. Нажмите кнопку "Начать проверку";
  7. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  8. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  9. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  10. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  11. Самостоятельно без указания консультанта ничего не не удаляйте!!!
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

TET.N 22-12-2012 17:57 2051070
Вложений: 2
Спасибо, что вы еще настаиваете на проверке, а то я уже расслабилась, хотя вид папок скачет, что и не орделишь где какой файл....
отправляю логи uVS и TDSS.
TDSS обнаружил подозрительный файл sptd, не удаляла.
посмотрите, пожалуйста, логи.

alex_sev 23-12-2012 01:00 2051315
Вот теперь все хорошо.

Цитата:
Цитата TET.N
файл sptd »
Это нормальный файл от эмуляторов CD-привода вроде Daemon Tools

У Вас видны остатки Combofix, запускать данную программу без контроля со стороны консультанта или осведомленного человека - не рекомендуется, поскольку возможно повреждение системы и удаление легитимных файлов, поэтому:

Деинсталлируйте ComboFix:
  1. Нажмите Пуск => Выполнить (или через сочетание клавиш Win - R) в появившемся окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
    (Возможно придется указать полный путь, например "C:\Users\User\Desktop\Combofix.exe" /Uninstall )


  2. Дождитесь сообщения об успешной деинсталляции ComboFix.
  3. Скачайте OTCleanIt, запустите, нажмите Clean up


Рекомендации после лечения:

http://forum.oszone.net/post-1838507-9.html


Время: 11:11.

Время: 11:11.
© OSzone.net 2001-