Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] При открытии браузеров появляются баннеры (http://forum.oszone.net/showthread.php?t=268160)

seman 16-09-2013 09:17 2218617
При открытии браузеров появляются баннеры
 
Открывая любой браузер, появляются баннеры рекламные.
проверял drweb и KIS все что нашел удалил
проблема осталась
Gmer обнаружил руткит, не знаю как его убрать

Заранее благодарю

seman 16-09-2013 09:44 2218622
RSIT

Sandor 16-09-2013 09:59 2218626
Цитата:
Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите и повторите логи AVZ.

seman 16-09-2013 12:08 2218685
Цитата:
Цитата Sandor
Обновите и повторите логи AVZ. »

Sandor 16-09-2013 12:30 2218702
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
  then
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Users\Acer\6200188.exe','');
 DeleteFile('C:\Users\Acer\6200188.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи AVZ (стандартный скрипт 2) и RSIT.

seman 16-09-2013 14:34 2218779
Цитата:
Цитата Sandor
Повторите логи AVZ (стандартный скрипт 2) и RSIT. »
Gmer по-прежнему показывает, что есть скрытый процесс в системе
Process (*** hidden *** ) [4] 84527940
Disk \Device\Harddisk0\DR0 unknown MBR code

Sandor 16-09-2013 15:15 2218803
Цитата:
Цитата seman
Открывая любой браузер, появляются баннеры рекламные »
Это еще беспокоит?

seman 16-09-2013 17:09 2218864
Цитата:
Цитата Sandor
Это еще беспокоит? »
остались. при открытии браузера открывается сайт download.flash-tech.ro с рекомендации обновить flash player. Открывает подменную страницу flash player+ все остальные рекламные баннеры

Sandor 16-09-2013 17:47 2218884
Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

seman 16-09-2013 18:55 2218915
Combofix

Sandor 16-09-2013 22:54 2219038
К сети подключаетесь через роутер?

Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

Код:
var
STR : TStringList;
CMDFile: string;
begin
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
STR := TStringList.Create;
STR.Add('ipconfig /all > diag.log');
STR.Add('route print >> diag.log');
STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
CMDFile:= GetAVZDirectory + 'diag.cmd';
ExecuteFile(CMDFile, '', 0, 200000, true);
end.
diag.log из папки с AVZ выложите.

seman 17-09-2013 09:40 2219178
Цитата:
Цитата Sandor
К сети подключаетесь через роутер? »
Да через роутер. Однако я принес ноут на работу и тут тоже роутер, все проверки и логи делаю здесь,
здесь безопасная сеть, специально пришел сюда, чтобы исключить проблему роутера

seman 17-09-2013 10:01 2219188
Вот что сначала возникает до рекламных баннеров

Sandor 17-09-2013 10:15 2219192
А на работе тоже проявляется проблема с баннерами? Если да, то это происходит во всех браузерах?

seman 17-09-2013 10:31 2219201
Sandor,

на работе тоже появляется. пока 15 минут тестов показали, что большая часть баннеров в опере, в хроме пока за 15 минут не увидел этих баннеров, оперу переустановил, не помогло.

Sandor 17-09-2013 11:11 2219224
Попробуйте портативную версию Оперы. Если там будет нормально, проверьте плагины, расширения. Переустановите с зачисткой (revo uninstaller, например). В Internet Explorer-е тоже нормально?

seman 17-09-2013 13:11 2219283
Sandor
Спасибо за помощь, проблема решена.
Запустил KIS c загрузочного, во время проверки нашел 16 угроз в папке windows и windows defender
После этого полет нормальный во всех браузерах и работоспособность восстановилась

Sandor 17-09-2013 13:28 2219293
Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения

Sandor 18-09-2013 10:02 2219710
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt, запустите, нажмите Clean up


Время: 20:10.

Время: 20:10.
© OSzone.net 2001-