Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирусная реклама в браузере (http://forum.oszone.net/showthread.php?t=312625)

apik2 12-03-2016 21:59 2615346
Вирусная реклама в браузере
 
Вложений: 1
Уважаемые администраторы! Прошу помощи в борьбе с всплывающей рекламой в браузерах. При запуске, а также при серфинге постоянно выкидывает на сторонние сайты. OS W7.

Sandor 13-03-2016 17:58 2615582
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
Reimage Repair
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnSvc.exe','');
 QuarantineFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdSvc.exe','');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\81a0a73852a20a1c\Yandex.lnk', '');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera11.61 1250.lnk', '');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Утилиты\Punto Switcher\Punto Switcher.lnk', '');
 QuarantineFile('C:\Program Files (x86)\Yandex\Punto Switcher\punto.url', '');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\ProgramData\ItEYRpspEh\ucqmFfuBN2.bat', '');
 QuarantineFile('c:\windows\temp\DisableS3S464\sethigh.cmd', '');
 QuarantineFile('c:\windows\temp\PowerSkin\PowerSkin.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe', '');
 QuarantineFile('C:\ProgramData\KSXhUC\JtOhqvMx0.bat', '');
 QuarantineFile('C:\Users\Asus\AppData\Local\mIvYMpUiMm\qanAcqwyaW1.bat', '');
 QuarantineFile('C:\Users\Asus\AppData\Local\Hostinstaller\3193789085_monster.exe', '');
 QuarantineFileF('C:\Users\Asus\AppData\Local\mIvYMpUiMm', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\ItEYRpspEh', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\KSXhUC', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\TimeTasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\Asus\AppData\Local\Hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdSvc.exe','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnSvc.exe','32');
 DeleteFile('C:\Users\Asus\AppData\Local\mIvYMpUiMm\qanAcqwyaW1.bat', '');
 DeleteFile('C:\ProgramData\ItEYRpspEh\ucqmFfuBN2.bat', '32');
 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe', '32');
 DeleteFile('C:\ProgramData\KSXhUC\JtOhqvMx0.bat', '32');
 DeleteFile('C:\Users\Asus\AppData\Local\mIvYMpUiMm\qanAcqwyaW1.bat', '32');
 DeleteFile('C:\Users\Asus\AppData\Local\Hostinstaller\3193789085_monster.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteService('BDMRTP');
 DeleteService('BDKVRTP');
 DeleteFileMask('C:\Users\Asus\AppData\Local\mIvYMpUiMm', '*', true);
 DeleteFileMask('C:\ProgramData\ItEYRpspEh', '*', true);
 DeleteFileMask('C:\ProgramData\KSXhUC', '*', true);
 DeleteFileMask('C:\ProgramData\TimeTasks', '*', true);
 DeleteFileMask('C:\Users\Asus\AppData\Local\Hostinstaller', '*', true);
 DeleteDirectory('C:\Users\Asus\AppData\Local\mIvYMpUiMm');
 DeleteDirectory('C:\ProgramData\ItEYRpspEh');
 DeleteDirectory('C:\ProgramData\KSXhUC');
 DeleteDirectory('C:\ProgramData\TimeTasks');
 DeleteDirectory('C:\Users\Asus\AppData\Local\Hostinstaller');
 DelCLSID('{11292110-6F8D-4D56-863C-44902A1E7880}');
 DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DisableS3S4','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PowerSkin','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Файл CheckBrowserLnk.log
из папки
Цитата:
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

apik2 13-03-2016 19:29 2615620
Вложений: 2
Сделал все как вы сказали.

Sandor 14-03-2016 16:00 2615916
1.
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню "Options" ("Настройки") отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

apik2 14-03-2016 20:39 2616014
Вложений: 4
Все сделал.

Sandor 15-03-2016 00:04 2616067
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
R2 BDMNetMon; C:\Windows\System32\DRIVERS\BDMNetMon.sys [109384 2014-06-19] (Baidu)
Task: {14C7D5AC-29EB-4C26-8C3D-92C9E2073F80} - \{0B0D0B47-0F08-0B7A-7A11-7A0E0B7D1109} -> No File <==== ATTENTION
Task: {8EA3FDF7-C92B-4EE1-AFB4-3FA911DDCCEE} - \kbrowser-updater-utility -> No File <==== ATTENTION
Task: {AFB95A78-6E22-480B-A016-E6CFCC3ACD6E} - \SystemMonitor2016 -> No File <==== ATTENTION
Task: {E1D3EB7A-CD1F-4A9F-AD59-B41493BF7E58} - \Safebrowser -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:029E021F [133]
AlternateDataStreams: C:\ProgramData\Temp:07BF512B [143]
AlternateDataStreams: C:\ProgramData\Temp:3AE22B1A [146]
AlternateDataStreams: C:\ProgramData\Temp:3E7393FC [126]
AlternateDataStreams: C:\ProgramData\Temp:41099CE9 [302]
AlternateDataStreams: C:\ProgramData\Temp:52DBE86F [147]
AlternateDataStreams: C:\ProgramData\Temp:5D458568 [133]
AlternateDataStreams: C:\ProgramData\Temp:81F83028 [140]
AlternateDataStreams: C:\ProgramData\Temp:981884E7 [149]
AlternateDataStreams: C:\ProgramData\Temp:D20FFA63 [133]
AlternateDataStreams: C:\Users\Все пользователи\Temp:029E021F [133]
AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B [143]
AlternateDataStreams: C:\Users\Все пользователи\Temp:3AE22B1A [146]
AlternateDataStreams: C:\Users\Все пользователи\Temp:3E7393FC [126]
AlternateDataStreams: C:\Users\Все пользователи\Temp:41099CE9 [302]
AlternateDataStreams: C:\Users\Все пользователи\Temp:52DBE86F [147]
AlternateDataStreams: C:\Users\Все пользователи\Temp:5D458568 [133]
AlternateDataStreams: C:\Users\Все пользователи\Temp:81F83028 [140]
AlternateDataStreams: C:\Users\Все пользователи\Temp:981884E7 [149]
AlternateDataStreams: C:\Users\Все пользователи\Temp:D20FFA63 [133]
FirewallRules: [TCP Query User{65E393DA-CB0C-4386-AE0C-7C7B16C3E4B0}C:\users\asus\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe] => (Allow) C:\users\asus\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe
FirewallRules: [UDP Query User{980FAEBB-85AA-4D2E-8892-1D41D1D3F041}C:\users\asus\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe] => (Allow) C:\users\asus\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.

apik2 15-03-2016 21:37 2616387
Sandor, спасибо Вам большое за помощь, ноутбук забрали, последнюю процедуру проделать не успел. вся реклама пропала. Спасибо вы лучший помогаете уже не первый раз.


Время: 14:27.

Время: 14:27.
© OSzone.net 2001-