Перейти к содержанию
Правила раздела

Реклама в браузерах

саша98

Автор саша98
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Roman_Five

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Users\ВОВКА\AppData\Roaming\newSI_1\s_inst.exe','');
 QuarantineFile('C:\Users\ВОВКА\AppData\Roaming\newSI_1799\s_inst.exe','');
 QuarantineFile('C:\Users\ВОВКА\AppData\Roaming\newSI_20107\s_inst.exe','');
 QuarantineFile('C:\Users\ВОВКА\AppData\Roaming\newSI_4196\s_inst.exe','');
 DeleteFile('C:\Windows\Tasks\newSI_1.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_1799.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_20107.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_4196.job','32');
 DeleteFile('C:\Users\ВОВКА\AppData\Roaming\newSI_4196\s_inst.exe','32');
 DeleteFile('C:\Users\ВОВКА\AppData\Roaming\newSI_20107\s_inst.exe','32');
 DeleteFile('C:\Users\ВОВКА\AppData\Roaming\newSI_1799\s_inst.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1799','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_20107','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_4196','32');
 DeleteFile('C:\Users\ВОВКА\appdata\roaming\newsi_1\s_inst.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

+ Эти файлы и папки удалите:

2014-07-20 01:27:53 ----A---- C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2014-07-20 01:27:53 ----A---- C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2014-07-20 01:26:32 ----D---- C:\Users\ВОВКА\AppData\Roaming\newSI_1799
2014-07-20 01:26:31 ----D---- C:\Users\ВОВКА\AppData\Roaming\newSI_103
2014-07-20 01:26:30 ----AD---- C:\Users\ВОВКА\AppData\Roaming\newSI_4196
2014-07-20 01:26:24 ----D---- C:\Users\ВОВКА\AppData\Roaming\newSI_20107
2014-07-20 01:26:22 ----D---- C:\Users\ВОВКА\AppData\Roaming\newSI_1
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

 

приложите логи AdwCleaner и MBAM

Прикрепленные файлы

а зачем нам эти банковские документы?

Ссылка на комментарий
Поделиться на другие сайты
саша98

саша98

Опубликовано
  • Автор
Опубликовано

[KLAN-1932345043]

Здравствуйте,

В присланном Вами файле обнаружено новое вредоносное программное обеспечение. 
Его детектирование будет включено в очередное обновление антивирусных баз. 
Благодарим за оказанную помощь.


not-a-virus:AdWare.Win32.MediaMagnet.a
not-a-virus:AdWare.Win32.MediaMagnet.b
not-a-virus:AdWare.Win32.MediaMagnet.c

Sincerely yours,
Paul Ambroso,
Junior Malware analyst.
_____________________
Kaspersky Lab
Bellevue, USA

Desktop.rar

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".
  • По окончанию сканирования снимите галочки со следующих строк:
***** [ Файлы / Папки ] *****
Папка Найдено : C:\Users\ВОВКА\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\ВОВКА\AppData\Local\MailRu
  • Нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Quarantine" ("Карантин" - смотрите, что удаляете).
 
Folders: 1
PUP.Optional.CinemaLoad.A, C:\Users\?\AppData\Roaming\cload, , [227701c888f30b2bed32927c83805ea2], 
 
Files: 15
Trojan.SMSHoax, F:\?N?·N?°\Pagerlib.zip.exe, , [4950d7f2770468ce631a8adc4bb645bb], 
Trojan.SMSHoax, F:\?N?·N?°\Start.zip.exe, , [00994584c6b594a2bbc27fe758a94cb4], 
PUP.Optional.CinemaLoad.A, C:\Users\?\AppData\Roaming\cload\chrome.dat, , [227701c888f30b2bed32927c83805ea2], 
PUP.Optional.CinemaLoad.A, C:\Users\?\AppData\Roaming\cload\amigo.dat, , [227701c888f30b2bed32927c83805ea2], 
PUP.Optional.CinemaLoad.A, C:\Users\?\AppData\Roaming\cload\opera.dat, , [227701c888f30b2bed32927c83805ea2], 
PUP.Optional.CinemaLoad.A, C:\Users\?\AppData\Roaming\cload\opera_chrome.dat, , [227701c888f30b2bed32927c83805ea2], 
PUP.Optional.CinemaLoad.A, C:\Users\?\AppData\Roaming\cload\yabrowser.dat, , [227701c888f30b2bed32927c83805ea2], 
PUP.Optional.CinemaLoad.A, C:\Users\?\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ecijengmojcngjjgghkfkgbjoogmlngb_0.localstorage, , [c0d92d9c0279e254160bdc32d42fed13], 
PUP.Optional.CinemaLoad.A, C:\Users\?\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ecijengmojcngjjgghkfkgbjoogmlngb_0.localstorage-journal, , [86137c4d0675f24425fc49c5946f0ff1], 
 
Обратите внимание! Для остальных объектов выберете действие "Ignore" ("Игнорировать").
 
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 
 
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

А как пользоваться этими логами?

вот так:

Прикрепите отчет к своему следующему сообщению

прикрепите к своему сообщению новый лог.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Couita
      Реклама
      Автор Couita
      Здравствуйте! Появилось данная плашка, как ее скрыть? раздражает сильно
       

    • korenis
      браузер закрывается сам по себе
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • PiGeMa
      Не открывается защищенный режим браузера Firefox
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
    • Alhena
      [РЕШЕНО] В браузере Google самопроизвольно открывается вкладка
      Автор Alhena
      Добрый день. Вчера во время игры (был открыт браузер Google), т.е я в данный момент играли и свернула игру. Заметила что покраснела иконка Кis. ОБыл обнаружен скрипт какого то трояна и архивы с адресом в гугле, все удалила, троян вылечился.  Но сейчас периодически открывается в браузере страница Crosspilot.io с предложением поставитьк какое то расширение для оперы в гугл. Может кто сталкивался и как с этим бороться? Пока поставила тот сайт в блокировку. Не знаю поможет ли.
    • KL FC Bot
      Как реклама с дипфейками в Instagram приводит к потере денег | Блог Касперского
      Автор KL FC Bot
      За X (ex-Twitter) уже давно и прочно закрепилась слава основного источника криптоскама, который активно продвигается в соцсети от лица взломанных или фейковых аккаунтов знаменитостей и крупных компаний. Тем временем платформы Instagram*, Facebook* и WhatsApp, принадлежащие вездесущей Meta**, зарабатывают похожую репутацию в другой категории — инвестиционного мошенничества с дипфейками.
      Преступники активно используют ИИ-инструменты для создания поддельных видео с людьми, которые обладают репутацией в финансовой сфере, — от известных экономистов и телеведущих до глав правительств. Затем злоумышленники продвигают такие видео в соцсетях с помощью рекламы. В этом посте рассказываем, как устроены эти схемы, куда попадают жертвы после просмотра таких видео, какую роль в них играет WhatsApp — и как не попасться на удочку мошенников.
      Instagram*, дипфейки и WhatsApp: инвестиционное мошенничество в Канаде
      Чтобы разобраться в том, как это все работает, мы начнем с недавней мошеннической кампании, нацеленной на клиентов канадских банков. В качестве первого шага злоумышленники запустили рекламу в Instagram* от имени BMO Belski.
      Аббревиатура BMO использована осознанно: у пользователей из Канады она устойчиво ассоциируется со старейшим банком страны, Bank of Montreal (Банк Монреаля). Упоминание фамилии Бельски также неслучайно: Брайан Бельски является главным инвестиционным стратегом BMO и руководителем группы инвестиционной стратегии банка.
      В рекламе от лица BMO Belski демонстрируются сгенерированные ИИ дипфейк‑видео с участием самого Бельски, в которых пользователям предлагают присоединиться к «приватной инвестиционной группе в WhatsApp». Расчет преступников состоит в том, что невнимательный канадский пользователь поверит в то, что ему предлагают получить достоверные финансовые и инвестиционные рекомендации от признанного эксперта, — и побежит общаться с мошенниками в WhatsApp.
      Так выглядит реклама мошеннического инвестиционного клуба с дипфейком Брайана Бельски в Instagram*: пользователей убеждают присоединиться к приватной группе в WhatsApp. Источник
      Интересная деталь — у аккаунта BMO Belski, распространявшего эту рекламу в Instagram*, вообще не было профиля в этой социальной сети. Реклама запускалась через страницу BMO Belski в Facebook* — компания Meta**, владеющая обеими социальными сетями, позволяет запускать рекламу в Instagram*, используя только бизнес‑страницу в Facebook*, без необходимости создавать отдельный аккаунт в Instagram*.
       
      View the full article
×
×
  • Создать...