[решено] Не открываются сайты, баннеры, перенаправление на другие сайты.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Не открываются сайты, баннеры, перенаправление на другие сайты.

Не открываются или периодически не открываются сайты антивирусов, другие сайты (например yandex.ru) открывается не полностью, поверх выскакивает баннер, периодически происходит перенаправление на сторонние сайты рекламного содержания, а так же с призывам скачать обновленную версию браузера. RSIT логи сделал, но зависал, поэтому добавил логи HijackThis. Компьютер с работы, уже завтра нужен, спасайте.

Интернет через роутер?

Такой лог подготовьте

Сканирование уже начал, скоро скину логи.

Вот еще лог

C:\Users\User\Desktop\87h8dz53.exe - это CureIt?

Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
В окно Custom Scans/Fixes скопируйте следующую информацию:

Код:

:processes :OTL FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found O4 - HKLM..\Run: [] File not found [2009.07.14 08:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini :Services :Files autorun.inf /alldrives recycler /alldrives ipconfig /flushdns /c :Reg :Commands [EMPTYJAVA] [EMPTYFLASH] [EMPTYTEMP] [RESETHOSTS] [purity] [start explorer] [Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Цитата:

Цитата alex_sev

C:\Users\User\Desktop\87h8dz53.exe - это CureIt? »

Да.
Скрипт выполнил.

Код:

All processes killed

========== PROCESSES ==========

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

C:\Windows\assembly\Desktop.ini moved successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

autorun.inf not found in C:\

autorun.inf not found in D:\

E:\AUTORUN.INF moved successfully.

autorun.inf not found in G:\

recycler not found in C:\

recycler not found in D:\

recycler not found in E:\

recycler not found in G:\

< ipconfig /flushdns /c >

Ќ*бва®©Є* Їа®в®Є®«* IP ¤«п Windows

Љни б®Ї®бв*ўЁвҐ«п DNS гбЇҐи*® ®зЁйҐ*.

C:\Users\User\Desktop\cmd.bat deleted successfully.

C:\Users\User\Desktop\cmd.txt deleted successfully.

========== REGISTRY ==========

========== COMMANDS ==========

 

[EMPTYJAVA]

 

User: All Users

 

User: Default

 

User: Default User

 

User: Public

 

User: User

 

User: Администратор

 

User: Все пользователи

 

Total Java Files Cleaned = 0,00 mb

 

 

[EMPTYFLASH]

 

User: All Users

 

User: Default

 

User: Default User

 

User: Public

 

User: User

->Flash cache emptied: 820 bytes

 

User: Администратор

 

User: Все пользователи

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: User

->Temp folder emptied: 22668911 bytes

->Temporary Internet Files folder emptied: 5586801 bytes

->Opera cache emptied: 2583931 bytes

->Flash cache emptied: 0 bytes

 

User: Администратор

 

User: Все пользователи

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 22568 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 575598 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 30,00 mb

 

File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.

Error: Unble to create default HOSTS file!

 

OTL by OldTimer - Version 3.2.63.0 log created on 09182012_222409



Files\Folders moved on Reboot...

File\Folder C:\Users\User\AppData\Local\Temp\OICE_EA4E315A-37D8-4C96-A268-6DB463AE5472.0\48987B69. not found!

File\Folder C:\Users\User\AppData\Local\Temp\OICE_DD410FD3-4545-4607-B9EC-F18544FA9CB5.0\9D4CC1DB. not found!

File\Folder C:\Users\User\AppData\Local\Temp\OICE_A5FB0BAD-8A62-4B3A-B791-0CAE01B9533C.0\8C6050F3. not found!

File\Folder C:\Users\User\AppData\Local\Temp\OICE_99A60BF2-B596-42BC-BE69-3F4CF4D208F5.0\1263E93F. not found!

File\Folder C:\Users\User\AppData\Local\Temp\OICE_535A4E91-822B-4B06-8816-347111F1B408.0\455BBF88. not found!

File\Folder C:\Users\User\AppData\Local\Temp\OICE_52CAAEB3-1788-4959-8977-1C9BC8E478A0.0\FF6CFD10. not found!

File\Folder C:\Users\User\AppData\Local\Temp\OICE_45AD1D0E-45DB-4777-937E-31D32CBEBB32.0\FCEC3962. not found!

File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.



PendingFileRenameOperations files...



Registry entries deleted on Reboot...

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 ExecuteRepair(19);

 RebootWindows(false);

end.

После выполнения скрипта компьютер перезагрузится.

Цитата:

найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение

Нужно.

Отлично. Теперь еще четыре шага:

Первый

Сбрасываете настройки роутера кнопкой RESET, заново вводите в него провайдерские настройки и ставите сложный пароль. - Подробнее смотрите инструкцию по роутеру и информационные листки от провайдера.

Второй

Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
Прикрепите файл к следующему сообщению.

Подробнее читайте в руководстве.

Третий

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
Самостоятельно без указания хелпера ничего не не удаляйте!!!
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Четвертый

Скачайте aswMBR и сохраните его на Рабочем столе.

Запустите aswMBR.exe двойным щелчком мыши;
Будет произведена попытка скачать обновления вирусных баз - (Если в системе установлен брандмауэр, разрешите доступ aswMBR.exe в сеть)
Нажмите кнопку Scan для начала сканирования
По окончанию сканирования нажмите кнопку Save log, сохраните лог на Рабочем столе.
Прикрепите полученный лог к следующему сообщению.

Примечание: Не нажимайте никаких других кнопок (Fix, FixMBR) без прямого указания хелпера!!! При несоблюдении данного условия операционная система может прийти в неработоспособное состояние!!!

Цитата:

Цитата akok

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". »

Выполнил.

alex_sev, сейчас выхожу с домашнего роутера (проблема сохраняется). Наблюдается проблема. Соединяюсь по wi-fi, сеть начинает видеть после переустановки драйверов на wi-fi.

Цитата:

Цитата akok

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". »

После выполнение скрипта вроде работа нормализовалась. Стоит ли выполнять еще какие-нибудь действия? (предыдущий пост)

Данный скрипт только почистил точки монтирования флеш-накопителей. У Вас же подменен адрес DNS сервера возможно в роутере а возможно в настройках соединения в компьютере. Возможно сейчас злонамеренный DNS сервер недоступен и проблема не воспроизводится. Так что наблюдайте и если что выполняйте указанные рекомендации

Не устанавливается обновление Windows (sp1). Попробую выполнить рекомендации.

TDSSKiller.exe выполнил. Утилита aswMBR завершилась с ошибкой, изображение во вложении.

Настройки роутера сбросили?

Роутер на работе. Логи на домашнем роутере. Сейчас подключен "напрямую". Обновление не устанавливается.

Заодно. Проблема с сайтами кроме этого, еще на трех компьютерах в офисе.

Значит точно вся проблема в настройках роутера

Сейчас проверяю в офисе. Вроде на сайты заходит без проблем. Что могло случиться с роутером, а главное каким образом, что можно сделать, что бы проблема не повторялась. Проблема с обновлением windows актуальна.

Цитата:

Цитата PticaOgnennaya

Что могло случиться с роутером, а главное каким образом, что можно сделать, что бы проблема не повторялась »

Один из компов подключенных к роутеру заразился трояном DNS-Changer - данный троян подобрал по словарю пароль роутера, изменил его настройки и самоудалился. Цель трояна - перенаправление на рекламные и вредоносные сайты.

Чтобы не повторилось - ставить очень сложный пароль на роутер.

С обновлением сейчас попробуем разобраться.

Подготовьте еще такие логи

http://safezone.cc/forum/showthread.php?t=18625
http://safezone.cc/forum/showthread.php?t=18205

Чуть подскажу по паролям, пароли должны быть лишены всякой логики, так пароли: 1qaz2wsx3edc !QAZ@WSX#EDC наверняка есть в словаре трояна используйте специальные генераторы паролей.

По поводу логов - попробую только завтра, если удастся. Логи скину либо в течении дня, либо вечером. Есть подозрение на нелецензионную винду, так как на других компьютерах обновления происходят, а так же смущают записи в свойствах компьютера о какой-то техподдержке...

Цитата:

Цитата PticaOgnennaya

смущают записи в свойствах компьютера о какой-то техподдержке »

Бывает у OEM версий

Прошу прощения, что с диким опозданием, но большое спасибо, что помогли. До сих пор все работает нормально. У меня появилась подобная проблема на другом компьютере. Отличие в том, что роутера нет. Подскажите что делать, какие логи выложить.

Цитата:

Цитата PticaOgnennaya

Подскажите что делать, какие логи выложить. »

Новый компьютер, новая тема, с новыми логами по правилам)

Стандартные логи скину где-то 14:00, когда буду у компьютера.

Ок, понял, эту отмечаю как решенную:)