Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Баннеры в Opera (v.12.12) под Win 7 (64 бит) (http://forum.oszone.net/showthread.php?t=296386)

MurzVV 04-03-2015 13:44 2478667
Баннеры в Opera (v.12.12) под Win 7 (64 бит)
 
Не могу самостоятельно избавиться от баннеров и рекламных сайтов (например: goodcasino-x.com/casino...) в Opera (v. 12.12). OS Win 7 (64 бит). Баннеры, рекламные сайты были и в Mozille, и в Google. Их я снёс, а также самоустановившиеся браузеры (Amigo и др.). Оперу переустановил. Что-то вычистил вручную, что-то с помощью CureIt, Касперского Virus Removal Tool, AVZ, HijackThis, avast-browser-cleanup, tdsskiller... Но эти не уходят. Кстати, при попытке скачать по ссылке AutoLogger, выскакивает на заражённом компьютере сообщение о потенциально опасном сайте. Пришлось качать с "чистого" компьютера под Win XP. Логи и скриншот прилагаю.

Sandor 04-03-2015 14:35 2478691
Здравствуйте!

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\user\AppData\Local\Microsoft\Windows\toolbar.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\SystemDir\nethost.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\Kometa\kometaup.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
 DeleteFile('C:\Users\user\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
 DeleteFile('C:\Users\user\AppData\Local\Microsoft\Windows\toolbar.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
 DeleteFileMask('C:\Users\user\AppData\Local\Kometa\', '*', true);
 DeleteDirectory('C:\Users\user\AppData\Local\Kometa\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
 ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

MurzVV 04-03-2015 18:25 2478789
Всё выполнил. Отчёт AdwCleaner[R3].txt прикрепил.
На всякий случай и вчерашние, когда сам шаманил, прикрепил (AdwCleaner[R0,R1,R2,S0].txt).

shestale 04-03-2015 19:01 2478802
Что с проблемой?
+
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

MurzVV 04-03-2015 19:33 2478814
Проблема, в целом, осталась. Но! Нижний (жёлтый) баннер вылезает значительно реже, а также потерял свою жёлтую окраску. Осталось лишь содержимое. При переходе по ссылке "Прикрепить файл" в данном сообщении, кинуло на сайт с "Битвой престолов"...
Лог прикрепил, а также скриншоты.
Ухожу с работы, продолжить, к сожалению, смогу лишь завтра.

shestale 04-03-2015 19:46 2478817
Реклама лезет в каком то одном браузере или в разных?
+
К интернету подключаетесь напрямую или через роутер?
+
Скачайте любой портабельный браузер и проверьте в нем, будет или нет реклама.
+
Отключайте\удаляйте расширения в браузерах, одно из них может быть источником рекламы.

MurzVV 04-03-2015 22:04 2478873
- Машина сотрудницы, оставил пока Operу. Лезет в ней. Завтра поставлю заново Mozillу и Google (просит) и посмотрю. Подёргаю и IE.
- Через роутер (KEENETIC_GIGA-V1.00[USD.1.4]D0). Но на других машинах в локалке такого нет, в том числе и в Опере.
- Расширения уже поотрубал.
Сегодня ещё до конца вычистил из реестра остатки Kometa с производными, Netbox, 2inf.net...
В DNS, ярлыках чисто. В cookies и хранилище Оперы их адреса лежат, но после удаления снова возвращаются.

regist 04-03-2015 23:06 2478897
скачайте отсюда Оперу и проверьте проблему в ней.

Код:
C:\Users\user\Favorites\Links\Интернет.url
этот ярлык также удалите.

Malwarebytes Anti-Malware, версия 2.0.4.1028 - раз уж от себя поставили эту программу, то давайте её лог.

MurzVV 04-03-2015 23:24 2478903
Malwarebytes Anti-Malware, версия 2.0.4.1028... От безысходности поставил, но до конца отработки не дождался, лога пока нет. Отработала почти до конца папки \WINDOWS\system32\, но ничего не нашла...
Ok! Завтра всё сделаю, выложу.

MurzVV 05-03-2015 12:23 2479041
Opera@USB работает нормально, пока без единого банера. Все линки, кроме IE удалил.

MurzVV 05-03-2015 12:44 2479055
Google Chrome и IE - чисто.

shestale 05-03-2015 12:46 2479056
Ищите решение проблемы через отключение\удаление расширений в опере, которая у вас стоит изначально.

regist 05-03-2015 14:08 2479091
1) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


2) В проблемной Опере нажмите Ctrl + Shift + E - отключите все расширения и проверьте проблему.

3) MBAM деинсталируйте.

MurzVV 05-03-2015 15:29 2479139
Расширений нет. Во всяком случае, Опера так утверждает. Отчёты FRST прикрепил. MBAM снёс.

Sandor 05-03-2015 17:51 2479223
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1045849774-339281551-995723194-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1045849774-339281551-995723194-1000 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1045849774-339281551-995723194-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1045849774-339281551-995723194-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
Task: {8587BDE5-55CC-4EF6-B75B-9CFAA3EBFC4D} - \nethost task No Task File <==== ATTENTION
Task: {DF11F1C0-5573-4A60-AE9E-A24BF453EDAA} - \SystemScript No Task File <==== ATTENTION
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

MurzVV 05-03-2015 18:19 2479238
Сделал, прикрепил.

shestale 05-03-2015 18:27 2479243
MurzVV, откройте пожалуйста при помощи блокнота этот файл и текст из него скопируйте в ответ
Код:
C:\Windows\SysWOW64\rmAds.bat

shestale 05-03-2015 19:42 2479281
MurzVV, если для вас это затруднительно, тогда просто удалите его.
+
Почистите браузеры с помощью AVZ:
Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:
Цитата:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке
Что с проблемой?

MurzVV 05-03-2015 21:44 2479341
Нет, не затруднительно. Просто, "больной" компьютер сотрудницы на работе, а я уже дома :) ... Завтра всё выполню и отпишусь.
Самым простым представляется вновь снести Оперу, вычистить все остатки везде и заново установить. Но...
- Уже сносил и чистил, хотя, несколько торопливо;
- Снёс, вычистил и сегодня переустановил Google, а также Мозиллу... А до сноса и они болели тем же...
Т.е., нет гарантии что эта гадость не отсидится где-нибудь.
Да и, просто уже шлея под хвост попала:"...я тебя всё равно достану!..." :) .

MurzVV 06-03-2015 12:29 2479513
- rmAds.bat - размер 0, внутри пустой, в смысле, без текста. Но, на всякий случай, убрал его из каталога.
- Браузеры почистил.
- Проблема жива. Сохраняются жёлтые рекламные банеры в верху и в низу страницы, забросы на рекламные сайты, на сайты-разводы "Вы нарушили закон!!!... Заплатите штраф", "Опасный сайт. Посещение этой страницы может представлять опасность. Страница была замечена в распространении вредоносного программного обеспечения...." и т.п. Например, при первой попытке печати данного ответа, при вбивании текста в поиске Оперы... Точнее, при переводе курсора в поле набора текста.
- Но, один вид банеров ушёл.

Sandor 06-03-2015 12:44 2479520
Цитата:
Цитата MurzVV
Google Chrome и IE - чисто. »
по-прежнему чисто?
Цитата:
Цитата regist
2) В проблемной Опере нажмите Ctrl + Shift + E - отключите все расширения и проверьте проблему. »
Проверили?

В каких браузерах проблема сохраняется?
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.

MurzVV 06-03-2015 13:01 2479527
- в Google Chrome и IE, а также Mozilla - чисто;
- Проверил и неоднократно, уже писал :), подтверждаю скрином;
- Только в Опере!
- uVS делаю, отпишусь.

MurzVV 06-03-2015 13:08 2479531
Скрин позабыл :)

MurzVV 06-03-2015 13:13 2479537
Лог uVS приаттачил... Но, как-то он интересно лог пишет... Чем читать его? Ctr+O в uVS?

regist 06-03-2015 20:10 2479753
Код:
C:\Users\user\AppData\Roaming\smw_inst
C:\Program Files (x86)\Microsoft Data
C:\Users\user\AppData\Local\SystemDir
C:\ProgramData\DP45977C.lfl
вот эти файлы /папки также удалите и проверьте проблему.

MurzVV 07-03-2015 14:08 2479964
Сделал. Баннеры пока не наблюдаю. Забросы из полей набора текста в окне поиска Оперы и в данном окне быстрого ответа на разные сайты (реклама, реклама порно, предупреждения "Опасный сайт Посещение этой страницы может представлять опасность. Страница была замечена в распространении вредоносного программного обеспечения. Opera Software настоятельно не рекомендует посещать эту страницу.") - сохраняются.
Повторная попытка установки курсора и набора текста отрабатывает штатно. И так почти с каждым новым открытием окон...

MurzVV 07-03-2015 14:23 2479969
И с баннерами не со всеми справились... Ушли жёлтые. Остался в верху серый, с предложениями узнать дату смерти, либо, как избавиться от варикоза, либо, посмотреть предсказания Ванги... И осталась всякая анимированная мелочёвка на страницах. Кроме этого есть ещё баг - перескакивание курсора в другие участки текста... Пока не понял, баг самой клавиатуры ноута, или зверёк какой-то резвится...

regist 07-03-2015 15:40 2479996
http://forum.oszone.net/post-2479091-13.html эти логи снова сделайте.


+ вот такой скрипт выполните и проверьте проблему

Код:
begin
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 RebootWindows(false);
end.

MurzVV 09-03-2015 14:53 2480578
Логи до прогона скрипта прикрепил.
Скрипт прогнал. Баннеры, перечисленные в посте #27 остались. Забросы по рекламным и пр. сайтам пока не наблюдаю.
На всякий случай сделал логи после скрипта, они в архиве под №2.

MurzVV 11-03-2015 11:57 2481278
И, всё-таки, забросы на рекламу из поля набора текста в поиске остались. Равно как и баннеры из поста #27...
Спасибо всем за помощь! Хоть и любопытно, кто проказничает, но на компе надо работать...
Попробую ещё раз снести, радикально подчистить следы Оперы и заново поставить.

regist 11-03-2015 18:50 2481460
В адресной строке Opera напишите opera:config (либо просто кликнете в Опере по этой ссылке).
Открывшуюся страницу сохраните как Веб архив (с расширением .mht), заархивируйте этот файл и прикрепите к своему сообщению.

MurzVV 12-03-2015 10:33 2481648
Прикрепил.

regist 12-03-2015 18:51 2481836
Перейдите по адресу opera:config#User JavaScript снимите галочки около всех пунктов в этом окне и проверьте проблему.

MurzVV 13-03-2015 12:21 2482139
Выполнил. Проблемы из поста #27 сохраняются.

regist 13-03-2015 13:57 2482203
Цитата:
Попробую ещё раз снести, радикально подчистить следы Оперы и заново поставить.
давайте ещё раз попробуем.

1) Деинсталируйте Оперу.
2) Удалите вручную папки:
Код:
C:\Users\user\AppData\Local\Opera
C:\Users\user\AppData\Roaming\Opera
3)После этого поставить Оперу заново и проверить проблему.
Обратите внимание, что все ваши закладки, сохранённые пароли и другие личные данные в Опера будут удалены. Если они нужны сделайте предварительно их копии.

MurzVV 13-03-2015 15:34 2482239
Да, спасибо, в курсе про потери... А реестр чистить не надо?

regist 13-03-2015 19:22 2482317
Цитата:
Цитата MurzVV
А реестр чистить не надо? »
нет, не надо. Опера все настройки хранит в этих папках. В реестре только записи об ассоциации файлов и т.п.


Время: 19:11.

Время: 19:11.
© OSzone.net 2001-