Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Периодически в браузере Mozilla Firefox в новой вкладке открывается различная реклама (http://forum.oszone.net/showthread.php?t=321331)

infernal_zmei 01-12-2016 12:43 2691991
Периодически в браузере Mozilla Firefox в новой вкладке открывается различная реклама
 
Вложений: 1
Всем привет. Подскажите, пожалуйста, как можно решить данную проблему. Периодически в Mozilla Firefox в новой вкладке открывается различная реклама. Если браузер свернут, он "разворачивается" и показывает вкладку с вновь открытой рекламой. Логи прикрепленны

Sandor 01-12-2016 17:37 2692077
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\user\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\User\AppData\Local\FilterOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\FileSystemOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\TestMenu\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\ImmediateHelp\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\LastNews\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\ValidateLife\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\DateOption\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\rightchose\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\FilterStart\FilterStart.exe', '');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Custom Command Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Trusted Additional Manager" /F', 0, 15000, true);
 DeleteFile('C:\Users\User\AppData\Local\FilterOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\TestMenu\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\LastNews\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\ValidateLife\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\DateOption\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\rightchose\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\FilterStart\FilterStart.exe', '32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '32');
 DeleteFileMask('c:\users\user\appdata\local\filterstart', '*', true);
 DeleteFileMask('c:\program files (x86)\screenup', '*', true);
 DeleteDirectory('c:\users\user\appdata\local\filterstart');
 DeleteDirectory('c:\program files (x86)\screenup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

infernal_zmei 02-12-2016 07:46 2692208
Вложений: 1
Логи после повторной диагностики с помощью Autologger

Sandor 02-12-2016 10:16 2692249
Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

infernal_zmei 02-12-2016 10:53 2692267
Вложений: 1
Отправляю отчеты после сканирования

Sandor 02-12-2016 11:01 2692269
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818407"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B9FF43FCA-1158-42EE-AFD7-837F25272B28%7D&gp=811014
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2016-11-16]
CHR Extension: (Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-11-16]
FirewallRules: [{0C5C40A9-E137-4453-A990-CC2E350B2C20}] => C:\Program Files\UBar\ubar.exe
FirewallRules: [{476F1C68-772C-4105-AD67-2631AF76DD34}] => C:\Users\User\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

infernal_zmei 02-12-2016 12:06 2692289
Вложений: 1
Прикреплен Fixlog.txt

Sandor 02-12-2016 12:15 2692291
Что с проблемой?

infernal_zmei 02-12-2016 12:30 2692297
В течении дня реклама не вылетала, сегодня оставлю компьютер на ночь включенным с открытым браузером. С утра посмотрю, были ли открыты вкладки с рекламой.

Спасибо, за быстрые и качественные ответы.

Sandor 02-12-2016 12:36 2692300
В завершение:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

infernal_zmei 02-12-2016 13:11 2692314
Уязвимостей не обнаружено, спасибо большое.

Sandor 02-12-2016 13:25 2692321
Рекомендации после лечения.

Удачи!

infernal_zmei 13-02-2017 04:45 2711306
Где-то через пару дней снова начала появлятся реклама. Мне проделать те же шаги, которые я выполнял в первый раз?

infernal_zmei 13-02-2017 06:41 2711321
Вложений: 1
файл с логами

Sandor 13-02-2017 11:14 2711366
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\User\AppData\Local\FilterOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\FileSystemOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\TestMenu\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\ImmediateHelp\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\LastNews\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\ValidateLife\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\DateOption\regCheck.vbs', '');
 QuarantineFile('C:\Users\User\AppData\Local\rightchose\regCheck.vbs', '');
 DeleteFile('C:\Users\User\AppData\Local\FilterOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\TestMenu\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\LastNews\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\ValidateLife\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\DateOption\regCheck.vbs', '32');
 DeleteFile('C:\Users\User\AppData\Local\rightchose\regCheck.vbs', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл CheckBrowserLnk.log
из папки
Цитата:
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

infernal_zmei 13-02-2017 12:19 2711381
Вложений: 1
Отчёт о работе ClearLNK

Sandor 14-02-2017 14:26 2711672
Цитата:
Цитата Sandor
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. »
Это тоже, пожалуйста.

infernal_zmei 15-02-2017 06:05 2711850
Вложений: 1
логи из Autologger'a

Sandor 15-02-2017 10:49 2711903
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

infernal_zmei 15-02-2017 13:53 2711955
Вложений: 1
лог из SecurityCheck. Кстати, после того как прошлеся автологгером реклама пропала.

Sandor 15-02-2017 13:56 2711956
Для верности посмотрим еще такие логи:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

infernal_zmei 16-02-2017 09:04 2712181
Вложений: 3
логи с Farbar Recovery Scan Tool

Sandor 16-02-2017 11:11 2712215
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
HKLM\...\StartupApproved\Run: => "DateOption"
HKLM\...\StartupApproved\Run32: => "FilterOptions"
HKU\S-1-5-21-3224531887-3864544366-3459587837-1001\...\StartupApproved\StartupFolder: => "regCheck.lnk"
HKU\S-1-5-21-3224531887-3864544366-3459587837-1001\...\StartupApproved\Run: => "FileSystemOptions"
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Перепроверьте расширения в Хроме.

infernal_zmei 16-02-2017 11:44 2712224
Вложений: 1
fix log

Sandor 16-02-2017 11:52 2712229
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
FileZilla Client 3.22.1 v.3.22.1 Внимание! Скачать обновления
TeamViewer 11 v.11.0.66695 Внимание! Скачать обновления
LibreOffice 5.2.2.2 v.5.2.2.2 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.26 v.7.26.101 Внимание! Скачать обновления
^Необязательное обновление.^
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 111 (64-bit) v.8.0.1110.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-x64.exe)^
Java SE Development Kit 8 Update 111 (64-bit) v.8.0.1110.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u121-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 PPAPI v.24.0.0.194 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Intel Security True Key v.4.4.135.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Еще раз напоминаю: Рекомендации после лечения.

infernal_zmei 16-02-2017 13:54 2712248
спасибо большое за помощь


Время: 22:31.

Время: 22:31.
© OSzone.net 2001-