Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирус самопроизвольно открывает рекламу в браузере (http://forum.oszone.net/showthread.php?t=325916)

inyourspace 13-04-2017 16:13 2728984
Вирус самопроизвольно открывает рекламу в браузере
 
Добрый день. Столкнулся с проблемой, подхватил вирус, который сам открывает браузер и запускает в нем рекламу. Чистил комп программой cureit, та нашла несколько вирусов и удалила их, но проблема осталась. Так же, в автозагрузке нашел программу Zaxar (я так понял вирусняк), но при этом папка на которую эта программа ссылается - удалена, как будто этот "захар" накачал вирусов и позже сам удалился. Прошу вас помочь, спасибо!

Sandor 13-04-2017 16:33 2728993
Здравствуйте!

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

inyourspace 13-04-2017 17:40 2729007
Вложений: 1
Сделал!

Sandor 14-04-2017 09:30 2729165
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
Ultimate-Discounter Browser
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 QuarantineFile('C:\Windows\system32\tasks\bossnewsbizhugosm', '');
 ExecuteFile('schtasks.exe', '/delete /TN "bossnewsbizhugosm" /F', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zaxar','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.


Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

inyourspace 15-04-2017 10:29 2729472
Вложений: 2
Готово! После удаления найденных объектов, появился еще один отчет. Высылаю оба.

shestale 15-04-2017 10:35 2729475
Подготовьте логи FRST

inyourspace 25-04-2017 15:41 2732222
Вложений: 5
Прошу прощения за столь долгий ответ, не было возможности пересечься с данным компьютером. Высылаю запрошенные выше логи. Так же, высылаю свежие логи из adwcleaner, так как при проверке сегодня он нашел еще 49 угроз.

Sandor 25-04-2017 15:59 2732227
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (TestTrue mini) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\hjjgjobepeoneoaemimcdkefocoedblg [2017-04-19]
OPR Extension: (TestTrue mini) - C:\Users\Andrey\AppData\Roaming\Opera Software\Opera Stable\Extensions\hjjgjobepeoneoaemimcdkefocoedblg [2017-04-19]
Task: {56DF4C5C-5420-49AF-ADC1-7B70F2A50DB9} - System32\Tasks\notbadnewsnetnexasm => Chrome.exe notbadnews.net/nexasm <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

inyourspace 25-04-2017 16:13 2732232
Вложений: 1
Готово

Sandor 25-04-2017 16:21 2732234
Что с проблемой?

inyourspace 25-04-2017 17:50 2732245
Огромное спасибо, проблема решена!

Sandor 26-04-2017 08:32 2732384
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


Время: 05:20.

Время: 05:20.
© OSzone.net 2001-