Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Загружаются рекламные сайты во всех браузерах (http://forum.oszone.net/showthread.php?t=292148)

buchoreg 05-12-2014 18:51 2440048

Загружаются рекламные сайты во всех браузерах
 
Вложений: 1
Добрый вечер!

Не пойму в какой момент вдруг стали вылезать рекламные окна. Вот даже сейчас - пока пишу текст вылезли эти рекламные сообщения - см. скриншоты.
Где подцепил - не понятно. Может скачал когда-то какой-то файл, не знаю.

Я работаю одновременно в 3 браузерах - Фаерфокс, яндекс, хром. Так эту штука то в одном начинает сначала, то в другом. Бессистемно.
Зато если уже начало в одном браузере - то потом сразу на все остальные тоже распространяется.

Первый раз такая проблема появилась месяца 2-3 назад. Антивирусы не помогают, АВЗ тоже ничего не находит.
Кратковременно помогает такое странное решение: очистить историю в браузерах, загрузиться в сэйф мод, выполнить проверку АВЗ всех файлов. При этом АВЗ ничего не находит. НО! При следующей загрузке - все хорошо.
Можно спокойно работать, неделю, две, месяц - как повезет :)
Причем если в этом алгоритме хоть что-то не сделать - то окна всплывают беспрестанно.

Уже и винду сносил, ставил. Браузеры переставлял. Отключил все лишние расширения.
Все равно периодически вылезает эта гадость.

Помогите с этой проблемой. Как от нее избавиться?

Логи прикладываю.

buchoreg 05-12-2014 18:54 2440050

Да, еще посмотрел исходники страниц, когда эти баннеры вылезли.
И вижу там примерно такие ссылки: news***fa.ru

Sandor 08-12-2014 11:09 2441108

Здравствуйте!

1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

2.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


3. К сети подключаетесь через роутер? Если да, один компьютер?

buchoreg 08-12-2014 11:27 2441117

1. Скрипт выполнил, комп перегрузился

2. Лог от AdwCleaner прикладываю
Вроде все чисто.

3. К сети подвключается через роутер - только один мой ноут. Других компов нет.
Я работаю на ноуте в офисе и иногда ношу его домой. Дома тоже есть роутер, плюс 1 домашний комп. На домашнем комьютере проблем с баннерами не было ни разу.
А вот на моем ноуте проблема проявляется и в офисе, и дома. Т.е. нет зависимости от его местанахождения и роутера.


Я начал тему 05.12.2014, и специально не прогонял АВЗ в сэйф моде. Думал получить от вас ответ и потом уже действовать.
Так эта зараза сама перестала появляться! :) С того дня баннеры не появлялись, хотя я не лечил ноут!
Как будто по расписанию какому-то не четкому запускается.
Не могу уловить логики.

Заметил, кстати, одну особенность - в большинстве случаев баннеры начинают вылезать после того как я захожу на yandex.ru и начинаю поиск информации.
Но иногда баннеры лезут и без яндекса.
Т.е. четкой зависимости опять нет...

buchoreg 08-12-2014 11:30 2441122

Вложений: 1
Логи

Sandor 08-12-2014 11:33 2441127

Цитата:

Цитата buchoreg
Вроде все чисто. »

Нет, найденные папки удалите:
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Цитата:

Цитата buchoreg
Отключил все лишние расширения. »

Перечислите какие расширения остались.

buchoreg 08-12-2014 11:44 2441136

Вложений: 1
Папки удалил. Лог прикладываю

Расширения:
1. Фаерфокс - см. скриншот

2. Яндекс.Браузер
Дополнительно ничего не ставил. Есть только те, что шли в комплекте.
Отключены все, кроме:
Турбо - режим Авто
Яндекс.Почта

3. Хром, включены:
Google Презентации
Google Презентации
Визуальные закладки - от Яндекса
Документы Google
Поиск Яндекса
Элементы Яндекса: Безопасность
Элементы Яндекса: Перевод
Элементы Яндекса: Погода
Яндекс.Почта

Sandor 08-12-2014 11:52 2441142

Давайте еще такой лог посмотрим:
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

buchoreg 08-12-2014 12:54 2441163

Лог UVS прикладываю.

И вот буквально 3 минуты назад опять полезли баннеры!
На ровном месте, ничего не искал в яндексе, работал в открытых давно вкладках в фаерфоксе - в джастклике.
Чертовщина какая-то)

buchoreg 08-12-2014 12:55 2441164

Еще нюнас заметил:
Когда лезут баннеры, то на какое-то время перестает открываться ВКонтакте.

Sandor 08-12-2014 13:05 2441170

SafeInCloud Password Manager - давно пользуетесь?

В IE баннеры тоже появляются? Скачайте Портативный браузер и проверьте в нем.

buchoreg 08-12-2014 13:14 2441175

SafeInCloud Password Manager - не так давно, месяца 2.
Баннеры появлялись и до него.

В IE - сложно сказать, я им не пользуюсь.

Да и появляются они как-то бессистемно.
Вот в предыдущем посте я писал про то, что они стали появляться. Перегрузил фаерфокс - и теперь все спокойно.

Попробую сейчас портативный браузер, IE тоже открою

buchoreg 08-12-2014 17:58 2441374

Вот только что опять вылезла эта гадость на Фаерфоксе и одновременно на IE.
Скриншот IE прикладываю.

В этот раз почему-то в Хроме и Яндекс.браузере ничего не появилось

Sandor 08-12-2014 18:00 2441375

К сети подключаетесь через роутер? Если да, один компьютер?

buchoreg 08-12-2014 18:02 2441377

Да, роутер.
Да, 1 мой ноут. Больше никого нет.

Sandor 08-12-2014 18:04 2441379

Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на вход в настройки роутера на сложный, очистите куки и кэш браузеров.

buchoreg 08-12-2014 18:31 2441389

Сделал сброс роутера и смену пароля. Хотя старый пароль тоже был не легкий.
Почистил везде кэши и куки.

Пока все ОК. Ждем. Если что-то появится, я напишу

buchoreg 09-12-2014 11:42 2441685

Вот опять :) Только что полезли баннеры в фаерфоксе, а затем и во всех браузерах.
И даже на портативном браузере, по вашей ссылке.

Sandor 09-12-2014 12:16 2441704

Цитата:

Цитата buchoreg
старый пароль тоже был не легкий »

Речь идет о пароле на wi-fi или на вход в настройки роутера?

buchoreg 09-12-2014 12:46 2441726

Оба пароля - сложные.

А вчера я сменил пароль на настройки роутера.

Sandor 09-12-2014 12:50 2441727

Выполните скрипт в АВЗ (Файл - Выполнить скрипт - запускать AVZ обязательно правой кнопкой от имени администратора):
Код:

begin
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU',2,2,true);
 RebootWindows(false);
end.

Компьютер перезагрузится.

Если результата не будет, подготовьте свежий CollectionLog.

buchoreg 09-12-2014 12:53 2441729

Еще нюанс. Баннеры появляются когда я переходу по ссылке и открывается сайт. При этом появляется, можно сказать, невидимое окно. Т.е. когда нажимаешь на любом месте открытой страницы - тут же открывается новое окно с рекламой.
Т.е. в итоге у меня висят баннеры на исходной странице + новое окно с рекламируемым сайтом.

buchoreg 09-12-2014 13:09 2441734

Вложений: 1
скрипт в АВЗ выполнил... Не помогло. После ребута - те же баннеры.

Лог CollectionLog прикладываю

Sandor 09-12-2014 13:25 2441742

И все же настройки DNS у Вас изменены. В параметрах роутера какой адрес там прописан?

buchoreg 09-12-2014 17:14 2441872

В роутере: DNS-сервер: 192.168.1.1

Это, видимо, офисный роутер. Он вне моей компетенции.
Т.е. подключение: мой ноут ---> wifi в моем кабинете ---> роутер офисный ---> Интернет

Вот только не пойму - если проблема в роутере, то почему и дома на этом ноуте вылезают баннеры?
При чем на домашнем компьютере - ни разу не было проблем.

Sandor 09-12-2014 17:30 2441877

По логу виден такой адрес: 91.224.160.10 - Нидерланды

buchoreg 09-12-2014 17:31 2441878

Вложений: 2
Еще теперь добавилась проблема:
После ребута ноута, в течение какого-то времени (5-10-15 минут) ни в одном браузере не открывается https://vk.com/
Пишется ошибка:
Firefox не может установить соединение с сервером vk.com.

Возможно, сайт временно недоступен или перегружен запросами. Подождите некоторое время и попробуйте снова.
Если вы не можете загрузить ни одну страницу – проверьте настройки соединения с Интернетом.
Если ваш компьютер или сеть защищены межсетевым экраном или прокси-сервером – убедитесь, что Firefox разрешён выход в Интернет.


Затем, в какой-то момент, все приходит в норму.

Ух ты, а сейчас вот такой интересный момент. см скриншот 1. Это в Хроме.
Это при попытке зайти в свой аккаунт ВК ругается и просит подтверить номер тел. При этом вылезли баннеры, на странице ВК внизу вместо Дурова указан: http://vk.com/id564385 .
На втором скриншоте - открылась станица этого странного аккаунта, при этом мне не удается авторизоваться в ВК.

Пока писал пост - это заняло минут 5, в Фаерфоксе удалось зайти в ВК. А в хроме так и не удается. И лезут баннеры постоянно

Что-то все хуже и хуже становится ноуту :)

buchoreg 09-12-2014 17:42 2441884

Вы написали: По логу виден такой адрес: 91.224.160.10 - Нидерланды

Это очень интересно!

Я сейчас посмотрел внимательно лог автологгера и увидел там:
Диагностика сети
DNS and Ping test
Host="yandex.ru", IP="91.224.160.10", Ping=OK (0,46,91.224.160.10)
Host="google.ru", IP="91.224.160.10", Ping=OK (0,45,91.224.160.10)

Потом сделал пинг на vk.com:
Ответ от 91.224.160.10: число байт=32 время=48мс TTL=53

А это пинг на яндекс:
Обмен пакетами с yandex.ru [91.224.160.10] с 32 байтами данных:
Ответ от 91.224.160.10: число байт=32 время=47мс TTL=53

Круто! Опять этот IP.

У ВК верные IP вроде как:
87.240.131.97
87.240.131.119
87.240.131.120

А у Яндекса:
93.158.134.11
213.180.193.11
213.180.204.11

Вопрос - а что и кто это у меня меняет в настройках?

------------

Чертовщина какая-то! Пока пишу пост - уже все меняется! Сейчас делаю пинг на яндекс:
Обмен пакетами с yandex.ru [93.158.134.11] с 32 байтами данных:
Ответ от 93.158.134.11: число байт=32 время=3мс TTL=54

Т.е. все хорошо стало.
Как так?

Sandor 09-12-2014 17:44 2441886

Цитата:

Цитата buchoreg
Это, видимо, офисный роутер. Он вне моей компетенции. »

Вы сами ответили.
Повторите еще раз этот скрипт. Если не поможет, сообщите админам, что нужно сбросить роутер.

buchoreg 09-12-2014 18:08 2441896

Прогнал скрипт, перегрузился.
Пока все хорошо.

А о чем это говорит? Что проблема все-таки на ноуте?
Что делает тот скрипт?

Sandor 10-12-2014 11:36 2442155

Цитата:

Цитата buchoreg
Что делает тот скрипт? »

Очищает кэш DNS и темпы.

buchoreg 10-12-2014 11:42 2442160

Понял.
Спасибо вам большое за помощь!

Сегодня с утра я в офисе и пока все тихо, баннеров нет.

Посмотрю как будет в течение дня.
Если опять что-то проявится - попробую поговорить про офисный роутер. Только тут админов нет :) Только владелец здания.

А скажите пож-та - если тот роутер виновен в появлении баннеров, то они тогда должны появляться и у других людей в нашем здании? Которые выходят в инет через него же?

Sandor 10-12-2014 11:53 2442169

Цитата:

Цитата buchoreg
то они тогда должны появляться и у других людей в нашем здании? »

Да.

Пока наблюдаете, проделайте следующее:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

buchoreg 10-12-2014 12:17 2442194

Прогнал скрипт, говорит: "Часто используемые уязвимости не обнаружены".
Значит, все ОК с ПО на ноуте.

Пока все тихо) Баннеров нет

Sandor 10-12-2014 12:20 2442196

Хорошо.

Рекомендации после лечения.


Время: 13:52.

Время: 13:52.
© OSzone.net 2001-