Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Реклама вулкана... (http://forum.oszone.net/showthread.php?t=324231)

ferz_drft@vk 26-02-2017 14:40 2714903
Реклама вулкана...
 
Вложений: 1
Добрый день, вчера после установки софта через загрузчик майлру (были сняты все галки) - каким-то образом просочился вирус рекламой.
Браузер с рекламой открывается сам, неважно играю я или работаю, очень действует на нервы.
Проверял AdwCleaner'om and MBAM'om, вирус все еще в браузере (chrome).

P.S. не понимаю таких действий со стороны такой крупной компании как мейлру, очень низко с их стороны, "впаривать" рекламу таким образом..
Логи:

Sandor 27-02-2017 10:23 2715077
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 QuarantineFile('C:\Windows\system32\tasks\waycnewscombymonm', '');
 ExecuteFile('schtasks.exe', '/delete /TN "waycnewscombymonm" /F', 0, 15000, true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(false);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

ferz_drft@vk 27-02-2017 16:52 2715157
Вложений: 3
Все выполнил.
Цитата:
Цитата Sandor
Прикрепите отчеты к своему следующему сообщению.

Sandor 28-02-2017 11:17 2715321
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
ProxyServer: [S-1-5-21-2057828907-927858051-1763332897-1001] => 222.52.76.51:1080
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=mp4
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=mp4","hxxp://www.istartpageing.com/?type=hp&ts=1449772852&z=53dc7c2087fa8b18a269370g4z6z4t0m1m6oab0qcc&from=cmi&uid=HitachiXHDT721032SLA380_STA2L7MT3UPH4C3UPH4CX","hxxp://www.yoursearching.com/?type=hp&ts=1449772962&z=75c12c840bf6799cc3810e7gbz0z8t1mam2o0tem6c&from=cornl&uid=HitachiXHDT721032SLA380_STA2L7MT3UPH4C3UPH4CX"
Task: {5AB1F812-B2F8-4492-82B5-C141D2F73400} - \DriverPack Notifier -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\FERZ\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\FERZ\AppData\Roaming:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:iSpring Solutions [128]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

ferz_drft@vk 28-02-2017 16:59 2715424
Вложений: 1
Цитата:
Цитата Sandor
Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. »
Готово.
Проблема с рекламой решена после выполнения скрипта выше, в avz.

Sandor 28-02-2017 17:01 2715428
Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

ferz_drft@vk 28-02-2017 17:06 2715432
Вложений: 1
Цитата:
Цитата Sandor
Прикрепите этот файл к своему следующему сообщению. »
Выполнил.

Sandor 28-02-2017 17:14 2715435
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
--------------------------- [ OtherUtilities ] ----------------------------
FileZilla Client 3.24.0 v.3.24.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.32 v.7.32.104 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 111 (64-bit) v.8.0.1110.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u121-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 ActiveX v.24.0.0.194 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.9.900.170 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Прочтите и выполните Рекомендации после лечения.


Время: 22:38.

Время: 22:38.
© OSzone.net 2001-