Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Блокировка сайтов. Рекламные баннеры... (http://forum.oszone.net/showthread.php?t=264292)

:Dimon 14-07-2013 17:26 2184568
Блокировка сайтов. Рекламные баннеры...
 
Здравствуйте.
Не так давно во всех браузерах моего компьютера стало появляться большое количество рекламы, NOD от 30% обновлений отказывается, на половину сайтов не заходит, страницы с соц. сетями отображаются не корректно, рекламные баннеры стали появляться даже в файлах которые предназначались просто для запуска игры, на сайт и форум касперского не пускает.
Проверил компьютер нодом, касперским и др.вебом, были найдены файлы которые были удалены (старые проверенные программы), но ничего не поменялось, далее гугл помог мне найти ваш форум)
С появлением всей этой рекламы также начал отключатся ссд диск, не знаю возможно это не относится к делу, но все же...

thyrex 14-07-2013 20:46 2184634
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Dimon\AppData\Roaming\Adobe\www.adobe.com.url','');
 DeleteFile('C:\Users\Dimon\AppData\Roaming\Adobe\www.adobe.com.url','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe Flash Player SU');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

Сделайте лог HiJack

:Dimon 14-07-2013 22:17 2184688
Сделал все в последовательности как вы написали. Не понял нужно ли было повторять повторную проверку RSIT и AVZ. Вообщем сделал повторно и прикрепил

thyrex 14-07-2013 23:48 2184718
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomailru4.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Advanced SystemCare Browser Protection - {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} - C:\PROGRA~2\ADVANC~1\BROWER~1\ASCPLU~1.DLL (file missing)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{167264A1-E9A4-417D-96AD-E56792CB6A6E}: NameServer = 5.104.108.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.104.108.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4A66074-99AF-4498-BE76-4EF38291AB33}: NameServer = 5.104.108.202
O17 - HKLM\System\CS1\Services\Tcpip\..\{167264A1-E9A4-417D-96AD-E56792CB6A6E}: NameServer = 5.104.108.202
O17 - HKLM\System\CS2\Services\Tcpip\..\{167264A1-E9A4-417D-96AD-E56792CB6A6E}: NameServer = 5.104.108.202
Сделайте новый лог

:Dimon 15-07-2013 01:11 2184738
Скажите пожалуйста подробней для незнающих вроде меня), AVZ тоже нужно было сделать логи по новой или достаточно было просто HiJack. Прикрепил новые логи.
После етого фикса неодин сайт не грузился и ваш в том числе, после того как выложил вам ети логи, сделал востановление системы...

regist 15-07-2013 10:40 2184813
Цитата:
Цитата :Dimon
AVZ тоже нужно было сделать логи по новой »
да, нужно сделать свежие логи AVZ, только перед этим ещё раз обновите базы AVZ.

thyrex 15-07-2013 14:22 2184935
+
Цитата:
Цитата :Dimon
После етого фикса неодин сайт не грузился и ваш в том числе »
Ну так надо было прописать DNS-адреса, выданные провайдером. У Вас они были подменены вирусом

Цитата:
Цитата :Dimon
сделал востановление системы... »
И проблема вернулась?

:Dimon 15-07-2013 17:48 2185073
Спасибо вам огромное.
После фикса в HiJack вся реклама пропала, на сайты антивирусов пускает, интернет перестал тупить.
Не знаю нужны ли логи но я уже сделал так что прикрепил)
Хотелось бы в двух словах узнать что это был вообще за вирус и как можно предотвратить в дальнейшем такие ситуации и как я понял нод который у меня всегда включен и постоянно обновляется не смог защитить.
Еще раз спасибо за помощь и внимание))

thyrex 15-07-2013 22:03 2185206
От подмены DNS не спасет ни один антивирус

Sandor 15-07-2013 22:24 2185219
Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

:Dimon 15-07-2013 22:24 2185220
Все понял, спасибо ребята))

Sandor 15-07-2013 22:25 2185221
См. сообщение выше
+
Рекомендации после лечения.

:Dimon 15-07-2013 23:16 2185235
Цитата:
Цитата Sandor
запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда »
Половину я уже обновил, вот что осталось, при попытке обновить Internet Explorer пишет что у меня установлена последняя версия, при попытке скачать jdk-6u45-windows-i586.exe по ссылке мне пишет что "необходимо принять лицензионное соглашение перед загрузкой" и как удалить старую версию мне не понятно, поиск гугл не дал результатов


Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 15.07.2013 22:07:23
Program directory: C:\TEMP\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
XML File - VersionInet=4.8
Диск C:\ ФС: NTFS Емкость: (34.1 Гб) Занято: (26.3 Гб) Свободно: (7.8 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 22.03.2012 14:38:42
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-07-12 10:47:35
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 6.0
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiSpyware_WMI----------------------
ESET Smart Security 6.0
Windows Defender
-------------OtherUtilities-----------------------
CCleaner v.4.03
-------------Java---------------------------------
Java(TM) 6 Update 35 v.6.0.350 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u45-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.8.800.94
Adobe Flash Player 11 Plugin v.11.8.800.94
-------------Browser------------------------------
Opera 12.16 v.12.16.1860
Maxthon 3
-------------RunningProcess-----------------------
C:\Program Files\Opera x64\opera.exe v.12.16.1860.0
-------------EndLog-------------------------------

Sandor 15-07-2013 23:41 2185251
Цитата:
Цитата :Dimon
как удалить старую версию мне не понятно »
Она должна быть у вас в перечне установленных программ (Панель управления - Установка/Удаление).
Цитата:
Цитата :Dimon
Internet Explorer пишет что у меня установлена последняя версия »
Сейчас последняя актуальная версия 10.


Время: 02:09.

Время: 02:09.
© OSzone.net 2001-