Атакует реклама
 

Здравствуйте.
Прошу помощи!!
1. При входе на любой сайт открывается страница с рекламой.
2. Компьютер работает очень медленно.
3. Страницы в интернете открываются с ошибками.
4. На странице ВКонтакте в окошки пароля и логина не вводятся данные.
5. На других сайтах, требующих ввода пароля, рядом с окошком для ввода пароля появился синий кружок с изображением ключа.

Здравствуйте!

1. Через Панель управления - Удаление программ - удалите:
2. Проверьте и временно отключите/удалите все расширения/дополнения браузеров.

3. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

4. Подготовьте лог MBAM.

Выполнил все Ваши рекомендации.

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:
Что с проблемой?

Скорость работы увеличилась.
Но баннеры рекламы продолжают выскакивать при переходе со страницы на страницу. Рядом с окошком для ввода пароля продолжает синяя кнопка с обозначением ключа. Скриншот в приложении.

К сети подключаетесь через роутер?
Это ваш провайдер?

Подключение через роутер. Провайдер Северо-Западный Телеком.

Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на админку роутера на сложный, очистите куки и кэш браузеров.

Переустановил роутер, очистил куки и кэш. Баннеры продолжаются, кнопка с ключом осталась.

Подготовьте лог MBAM.

Подготовил.

Это происходит в любом браузере, включая IE?
Проверьте будет ли реклама в портативном браузере.

В портативной опере все то же самое.
В прилагаемом файле 1-й скриншот - кнопка с ключом у окошка пароля при входе на Ваш сайт. 2-й скриншот - попытался ввести логин.

Вы делали полный сброс роутера? (Reset)

От роутера работают три компьютера. На двух таких проблем нет.

Вы об этом не говорили.

Сделайте такой лог:

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

5. Подробнее читайте в руководстве Как подготовить лог UVS

Выполнил. Объем лога 511КБ. Не прикрепляется.

Упакованный? Выложите на файлообменник (типа rghost.ru), ссылку сюда.

Отправил.http://rghost.ru/55181701

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ---

   ;uVS v3.82 [http://dsrt.dyndns.org]
;Target OS: NTv6.0

breg

unload %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\RTKBTMNT.EXE

; C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\RTKBTMNT.EXE
bl B2994EC6452DBD04E57828EEFEDFB93C 204800
zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\RTKBTMNT.EXE

delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\RTKBTMNT.EXE
czoo
regt 27
deltmp
restart

   ---

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   

   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

Повторите лог uVS.

Выполнил. Лог uVS отправил на почтовый ящик.

Будут ли еще какие-то предложения?

прочитать внимательно последние рекомендации которые вам дали.
Логи надо прикреплять к посту (если не помещается, то можно ссылкой) , а на почту слать карантин.

Выполнил все по инструкции

http://rghost.ru/55319442

Жду дальнейших предложений.

Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, заархивируйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Выполнил ComboFix

Изменения после Комбо есть?

Пока рекламные баннеры не вылезают. Но синие кнопки с ключом у окошков для ввода паролей осталась.

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

При выполнении последней рекомендации компьютер завис.

Попробуйте выполнить ее в безопасном режиме.

Выполнил через безопасный режим. Изменений нет.

Загрузитесь в режиме "чистой" загрузки:

WIN +R - выполнить - msconfig
На вкладке Общие выберите параметр Выборочный запуск.
В разделе Выборочный запуск снимите флажок Загружать элементы автозагрузки.
На вкладке Службы установите флажок Не отображать службы Майкрософт и нажмите кнопку Отключить все.
Нажмите Применить - OK и - Перезапустить.

Проверьте, сохраняется ли проблема.
Если сохраняется, создайте другую учетную запись (пользователя) и проверьте, есть ли там реклама.

Выполнил рекомендации. Проблемы остались. При попытке создания новой учетной записи сообщение не может выполнить команду sens.

Будут ли еще рекомендации?

Упакуйте папку
с паролем virus и отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Через Панель управления - Удаление программ - удалите
Программу удаленного подключения Ammyy Admin вы устанавливали самостоятельно?

Выполните скрипт в АВЗ (Файл - Выполнить скрипт - запускать AVZ обязательно правой кнопкой от имени администратора):
Компьютер перезагрузится.

Упаковать папку C:\Qoobox\ удалось толко в безопасном режиме. В обычном режиме появляется сообщение см. скриншот. При отправке письма пришло сообщение: К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям, потому что:

virus message discarded

Html5 geolocation provider удалил.

Скрипт выполнил.

Ammyy Admin установлена самостоятельно.

Для того, чтоб этого не было и нужно упаковать
В WinRAR-е вкладка Дополнительно, кнопка Установить пароль.
Попробуйте еще раз.


Изменений (улучшений) нет?

При попытке упаковать файл появляется сообщение
! Невозможно прочитать содержимое C:\Qoobox\BackEnv\*
Отказано в доступе.
! Невозможно создать C:\Qoobox.rar
Клиент не обладает требуемыми правами.

После выполнения скрипта улучшений нет.

У вас ведь в безопасном режиме получалось упаковать. Попробуйте еще раз, но с паролем.

Как в безопасном режиме переключить клавиатуру на английский?

также как и в обычном. Либо щёлчком по значку в трее, либо комбинаций Ctrl + Shift или Alt + Shift (зависит от настроек).
тогда восстановите его из карантина по этой инструкции

В безопасном режиме значок в трее отсутствует, комбинация не работает.
В файле ComboFix-quarantined-files.txt присутствуют три записи с Ammyy Admin. Какой файл восстанавливать?

Задайте цифровой пароль и напишите его в теле письма.
Все три.

C:\Qoobox\ упаковал и отправил. Файлы восстановил.
Пока реклама не выскакивает, но кнопки у окошек ввода пароля присутствуют.

В любом браузере, включая портативный?

В портативном присутствуют. Других брузеров,кроме IE, нет.

Вы говорите только о сайте Сбербанка? Возможно это их специальная дополнительная защита. На любых других сайтах есть то же самое?

Скриншоты, пожалуйста, делайте картинками.

http://rghost.ru/55907022
http://rghost.ru/55907044
http://rghost.ru/55907051
http://rghost.ru/55907063
http://rghost.ru/55907080

Скриншот1 - зашел на форум. Выскочила реклама. синяя кнопка есть.
Скриншот2 - вышел с форума. Выскочила реклама. синяя кнопка есть.
Скриншот3 - Закрыл рекламу. У окошка для ввода пароля для входа на форум синяя кнопка. Но она не мешает вводить пароль и войти на форум.
Скриншот4 - торговая площадка Сбербанк-АСТ. Два окна для ввода пароля. хотя должно быть одно. Сение кнопки есть.
Скриншот5 - попытался ввести пароль. Загорается предупреждении об ошибках при вводе пароля, хотя все сделано правильно.
Связался с тех поддержкой электронной площадки. Они прислали вот такой ответ:
На присланном Вами скришоте, в окно ввода пароля встроены сторонние элементы, не имеющие отношения к сайту электронной площадки (синий круг с ключом).

Эти элементы встроены в код браузера Internet Explorer сторонним ПО, установленным на Вашем ПК.

Кроме того, в разделе для ввода пароля должно быть одно окно, а не 2 как у Вас на ПК.

Пример корректного отображения страницы заявления на аккредитацию приведен в прикрепленном файле.

Вам необходимо в браузере Internet Explorer (раздел «Сервис – Надстройки») отключить все нестандартные надстройки браузера и удалить с ПК стороннее ПО, интегрирующее в страницы сайта указанные выше элементы.

Я вам в первом сообщении написал:
Проделали? Есть результат?

Отключал все. Никакого результата.

Давайте посмотрим свежие логи по правилам.

Вы так и не ответили:

Сделал свежие логи по правилам. Изменений нет. Кнопка у окошка для пароля на Вашем сайте, при входе ВКонтакте, на торговой площадке Сбербанк-АСТ. На других не проверял. При переходе со страницы на страницу периодически загружается реклама или переход на какой-нибудь игровой сайт.

Будут ли еще рекомендации?

Прошу сообщить, будут ли еще рекомендации?

Запишите нужные вам данные из браузеров. Удалите полностью без сохранения профиля. И переустановите браузер. Проверьте проблему.

Удалил эксплорер и мозиллу. Установил эксплорер 9. Все осталось без изменений. Кнопка у пароля осталась, загрузка рекламы и игровых сайтов остались.

В Internet Explorer войдите в Сервис - Свойства - Надстройки. Увеличьте окно, чтоб были видны все записи и сделайте скриншот. Приложите к следующему вашему сообщению. (Желательно не в формате Word, а в одном из графических).

Выполнил. Отправляю.

скачайте отсюда Оперу , загрузитесь в безопасном режиме с поддержкой сети и проверьте проблему в ней.

Скачал оперу, загрузился в безопасном режиме с поддержкой сети. Синие кнопки у окошек паролей отсутствуют. Реклама не выскакивает.
Но торговая площадка сбербанк-аст требует, чтобы работали только в браузере IE и желательно восьмерка.

Будут ли еще рекомендации?

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, проблема кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.

Отключил все службы на вкладках Служба и Автозагрузка. Все проблемы остались.

При загрузке IE в безопасном режиме с загрузкой сети проблемы исчезли.