Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Не открываются сайты, перенаправляются ссылки, рекламные баннеры.

Ответить
Настройки темы
[решено] Не открываются сайты, перенаправляются ссылки, рекламные баннеры.

Аватара для PticaOgnennaya

Пользователь


Сообщения: 146
Благодарности: 1

Профиль | Отправить PM | Цитировать


Изменения
Автор: PticaOgnennaya
Дата: 14-10-2021
Компьютер подключен напрямую без маршрутизатора. При попытке открыть какой-либо сайт, происходит подмена его другим сайтом. Браузер Опера.

Отправлено: 15:31, 04-12-2012

 

Аватара для alex_sev

Ветеран


Консультант


Сообщения: 1544
Благодарности: 489

Профиль | Отправить PM | Цитировать


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Елена\appdata\roaming\ncd1zkv.exe');
 QuarantineFileF('C:\Users\Елена\AppData\Roaming\', '*.exe', false, '', 0, 0);
 QuarantineFile('I:\autorun.inf','');
 QuarantineFile('C:\Users\Елена\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe','');
 QuarantineFile('C:\Users\Елена\Documents\Iterra\xdybdze.dll','');
 QuarantineFile('c:\users\Елена\appdata\roaming\ncd1zkv.exe','');
 DeleteFile('C:\Users\Елена\Documents\Iterra\xdybdze.dll');
 DeleteFile('C:\Users\Елена\AppData\Roaming\ncd1zkv.exe');
 DeleteFileMask('C:\Users\Елена\AppData\Roaming\', '*.exe', false);
 DeleteFileMask('C:\Users\Елена\Documents\Iterra\', '*.*', true);
 DeleteDirectory('C:\Users\Елена\Documents\Iterra\');
 DelBHO('{6C680BAE-655C-4E3D-8FC4-E6A520C3D928}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','krl4rpleq');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221'); 
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: Выделить весь код
O2 - BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - (no file)
O4 - HKCU\..\Run: [krl4rpleq] C:\Users\Елена\AppData\Roaming\ncd1zkv.exe
O4 - Startup: winupdate.lnk = ?
O20 - AppInit_DLLs: C:\Users\Елена\Documents\Iterra\xdybdze.dll
Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код: Выделить весь код
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

-------
Лечение через PM не провожу.


Отправлено: 15:42, 04-12-2012 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для PticaOgnennaya

Пользователь


Сообщения: 146
Благодарности: 1

Профиль | Отправить PM | Цитировать


Вроде бы все.

Последний раз редактировалось PticaOgnennaya, 14-10-2021 в 10:06.


Отправлено: 17:57, 04-12-2012 | #3


Аватара для alex_sev

Ветеран


Консультант


Сообщения: 1544
Благодарности: 489

Профиль | Отправить PM | Цитировать


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Елена\appdata\local\nvidia corporation\update\daemonupd.exe');
 TerminateProcessByName('c:\users\Елена\appdata\local\google\update\gupdate.exe');
 SetServiceStart('NvUpdService', 4);
 StopService('NvUpdService');
 QuarantineFile('c:\users\Елена\appdata\local\nvidia corporation\update\daemonupd.exe','');
 QuarantineFile('C:\Users\Елена\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe','');
 QuarantineFile('C:\Users\Елена\Local Settings\Application Data\Microsoft\Windows\winupdate.exe','');
 QuarantineFile('C:\Users\Елена\Local Settings\Application Data\Google\Update\gupdate.exe','');
 QuarantineFile('C:\Users\6145~1\AppData\Local\Temp\4A4791F5-E347F7A-7ECA5ACF-F03596CA\7v7calp5.exe','');
 DeleteFile('C:\Users\Елена\Local Settings\Application Data\Google\Update\gupdate.exe');
 DeleteFile('C:\Users\Елена\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe');
 DeleteFile('C:\Users\Елена\Local Settings\Application Data\Microsoft\Windows\winupdate.exe');
 DeleteFile('C:\Users\6145~1\AppData\Local\Temp\4A4791F5-E347F7A-7ECA5ACF-F03596CA\7v7calp5.exe');
 DeleteFile('C:\Users\Елена\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe');
 DeleteService('NvUpdService');
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: Выделить весь код
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gogomailru.ru/
Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.

-------
Лечение через PM не провожу.


Отправлено: 20:30, 04-12-2012 | #4


Аватара для PticaOgnennaya

Пользователь


Сообщения: 146
Благодарности: 1

Профиль | Отправить PM | Цитировать


Логи

Последний раз редактировалось PticaOgnennaya, 14-10-2021 в 10:06.


Отправлено: 11:29, 05-12-2012 | #5


Аватара для PticaOgnennaya

Пользователь


Сообщения: 146
Благодарности: 1

Профиль | Отправить PM | Цитировать


Security Check by glax24 version 0.1.5.43 beta
WebSite: www.safezone.cc
DataLog 05.12.2012 11:30:39
Program directory: C:\Users\Елена\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.3
__________________________________________________

WIN_7 Build 7601 (x64) HomeBasic Lan:0419
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2012-12-04 09:38:28
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky CRYSTAL
Антивирус устарел
Сканирование отключено
-------------Firewall_WMI-------------------------
Kaspersky CRYSTAL
-------------AntiSpyware_WMI----------------------
Kaspersky CRYSTAL
Windows Defender
-------------AntiVirusFirewallInstall-------------
Kaspersky CRYSTAL v.12.0.1.288
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 30 v.6.0.300 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.287 Внимание! Скачать обновления
^Открыть ссылку в Internet Explorer^
Adobe Flash Player 10 Plugin v.10.0.12.36 Внимание! Скачать обновления
^Открыть ссылку в Opera или Mozilla FireFox^
Adobe Reader X (10.1.0) - Russian v.10.1.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.95
Opera 12.11 v.12.11.1661
-------------EmailClient--------------------------
-------------RunningProcess-----------------------
-------------EndLog-------------------------------

Отправлено: 11:30, 05-12-2012 | #6


Аватара для alex_sev

Ветеран


Консультант


Сообщения: 1544
Благодарности: 489

Профиль | Отправить PM | Цитировать


Цитата PticaOgnennaya:
Антивирус устарел »
То-то я думаю он у Вас в глаза не видит старых троянов.

Закрывайте уязвимости, обновляйте софт ссылки в вашем посте.

Меняйте пароли.

Как самочувствие системы?

-------
Лечение через PM не провожу.


Отправлено: 14:32, 05-12-2012 | #7


Аватара для PticaOgnennaya

Пользователь


Сообщения: 146
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата alex_sev:
То-то я думаю он у Вас в глаза не видит старых троянов. »
Лицензии нет, так бы продлили Придется ставить что-нибудь бесплатное.

С уязвимостями разберусь. Самочувствие хорошее, снова меня выручили, спасибо.

Есть какие-нибудь рекомендации, что можно сделать в будущем в подобной ситуации своими силами?

Отправлено: 15:49, 05-12-2012 | #8


Аватара для alex_sev

Ветеран


Консультант


Сообщения: 1544
Благодарности: 489

Профиль | Отправить PM | Цитировать


Рекомендации стандартные

+

червь скорее пришел через незакрытые уязвимости.

Маячок в основном распространяется под видом полезных программ скачанных с файлопомоек, а не с официальных сайтов + всякие программки для контакта, фэйсбука и проч. А так же методами социальной инженерии - погляди какая фотка, вот такие себе обои поставил, погляди - это не ты на этой странице и т.п.

Обновления, ограниченная учетка, программы только с оф.сайтов, отключенные лишние плагины в браузерах, антивирус, разумная голова - все это снизит % заражения. (для еще большего снижения вероятности необходимо настроить Политики ограниченного использования программ - http://www.oszone.net/3979/Software_...ction_Policies - работает только в Pro и Ultimate версиях ОС)

+

смените пароли, червь мог их утащить

+

просканьте полностью систему на предмет неактивных тушек антивирусом или сканером вроде CureIt

-------
Лечение через PM не провожу.


Отправлено: 16:00, 05-12-2012 | #9


Аватара для PticaOgnennaya

Пользователь


Сообщения: 146
Благодарности: 1

Профиль | Отправить PM | Цитировать


Спасибо.

Отправлено: 16:12, 05-12-2012 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Не открываются сайты, перенаправляются ссылки, рекламные баннеры.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Не открываются сайты, баннеры, перенаправление на другие сайты. PticaOgnennaya Лечение систем от вредоносных программ 26 04-12-2012 11:49
Почта - Не открываются ссылки в сообщениях galivv Windows Live (архив) 5 02-12-2011 01:27
[решено] Не открываются некоторые сайты в т.ч. сайты антивирусов. BaikalBreeze Лечение систем от вредоносных программ 7 07-11-2010 23:30
[решено] Не открываются сайты антивирусов и не пускает на некоторые сайты. tory Лечение систем от вредоносных программ 11 11-05-2010 20:43
к какому типу относятся файло-рекламные сайты n_i_x Вебмастеру 1 13-09-2009 10:35




 
Переход