всплывающая реклама

[Светлана86]

всплывает реклама при открытии страницы, а также при переходе по ссылке. переустановила оперу, проблема исчезла на неделю и снова появилась. Сделала сканирование avz 

MD5 карантина: D46E338551BBA7AC06CDB20F2DA89714
Размер файла: 40172762 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.

что делать дальше?

[thyrex]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] выполните

[Светлана86]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] выполните

выполнила

CollectionLog-2014.10.23-23.54.zip

[mike 1]

Здравствуйте! Деинсталлируйте:

 

ContinueToSave 1.74-->"C:\Program Files\ContinueToSave\uninstall.exe" /FULLPATH="C:\Program Files\ContinueToSave"

cOuntiynUEyteOsave-->"C:\ProgramData\cOuntiynUEyteOsave\uninstall.exe" /path=C:\ProgramData\cOuntiynUEyteOsave

EbookBarowwssee-->"C:\ProgramData\EbookBarowwssee\uninstall.exe" /path=C:\ProgramData\EbookBarowwssee

OptimizerPro1-->C:\PROGRA~3\INSTAL~1\OPTIMI~1\Setup.exe /remove /q0

storegid-->C:\Users\пользователь\AppData\Local\storegid\uninstall.exe

wxDownload-->"C:\ProgramData\wxDownload\uninstall.exe" /path=C:\ProgramData\wxDownload

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 TerminateProcessByName('c:\users\пользователь\appdata\local\storegid\storegid.exe');

 SetServiceStart('storegidfilter', 4);

 StopService('storegidfilter');

 QuarantineFile('C:\Program Files\suptab\suptab.dll','');

 QuarantineFile('C:\Program Files\suptab\dpinterface32.dll','');

 QuarantineFile('C:\ProgramData\cOuntiynUEyteOsave\518181ff074b6.dll','');

 QuarantineFile('C:\ProgramData\EbookBarowwssee\5181820aa1de5.dll','');

 QuarantineFile('C:\Users\пользователь\AppData\Local\storegid\storegidup.exe','');

 QuarantineFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','');

 QuarantineFile('C:\Program Files\Mega Browse\updateMegaBrowse.exe','');

 QuarantineFile('C:\Windows\storegidfilter.sys','');

 QuarantineFile('c:\users\пользователь\appdata\local\storegid\storegid.exe','');

 DeleteFile('C:\Windows\storegidfilter.sys','32');

 DeleteFile('C:\Program Files\Mega Browse\updateMegaBrowse.exe','32');

 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','32');

 DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32');

 DeleteFile('C:\Users\пользователь\AppData\Local\storegid\storegid.exe','32');

 DeleteFile('C:\Users\пользователь\AppData\Local\storegid\storegidup.exe','32');

 DeleteFile('C:\Windows\Tasks\OptimizerPro1UpdaterTask{0EB4ED93-6858-42FE-9375-7BDF22AD320A}.job','32');

 DeleteFile('C:\ProgramData\EbookBarowwssee\5181820aa1de5.dll','32');

 DeleteFile('C:\ProgramData\cOuntiynUEyteOsave\518181ff074b6.dll','32');

 DeleteFile('C:\Windows\system32\Tasks\OptimizerPro1UpdaterTask{0EB4ED93-6858-42FE-9375-7BDF22AD320A}','32');

 DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32');

 DeleteFile('C:\Program Files\suptab\suptab.dll','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegidUpdater');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','storegid');

 DeleteService('BAPIDRV');

 DeleteService('storegidfilter');

 DeleteService('Update Mega Browse');

 DeleteFileMask('C:\ProgramData\cOuntiynUEyteOsave', '*', true, ' ');

 DeleteFileMask('C:\ProgramData\EbookBarowwssee', '*', true, ' ');

 DeleteFileMask('c:\users\пользователь\appdata\local\storegid', '*', true, ' ');

 DeleteFileMask('C:\Program Files\ШоппингГид', '*', true, ' ');

 DeleteFileMask('C:\ProgramData\wxDownload', '*', true, ' ');

 DeleteDirectory('C:\ProgramData\wxDownload');        

 DeleteDirectory('C:\Program Files\ШоппингГид');     

 DeleteDirectory('C:\ProgramData\cOuntiynUEyteOsave');     

 DeleteDirectory('C:\ProgramData\EbookBarowwssee');     

 DeleteDirectory('c:\users\пользователь\appdata\local\storegid');     

BC_ImportAll;

ExecuteSysClean;

BC_Activate;   

RebootWindows(false);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402559039&from=wpm0612&uid=WDCXWD3200BEKT-60F3T1_WD-WXP0A99C7534C7534&q={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402559039&from=wpm0612&uid=WDCXWD3200BEKT-60F3T1_WD-WXP0A99C7534C7534&q={searchTerms}

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru

O2 - BHO: wxDownload - {756FE558-A0A8-23C4-F7A3-377E2DA5B921} - C:\ProgramData\wxDownload\5092712174338.ocx

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Program Files\Get-Styles 2.0\op\updatebho.dll

O2 - BHO: EbookBarowwssee - {A5660A80-8577-AEBE-635D-BEAB1465DB9A} - C:\ProgramData\EbookBarowwssee\5181820aa1de5.dll

O2 - BHO: cOuntiynUEyteOsave - {DBAC7CE5-78C2-0BC5-C84F-45A745595D8C} - C:\ProgramData\cOuntiynUEyteOsave\518181ff074b6.dll

O20 - AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL

 

 

Сделайте новые логи

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  

• Прикрепите отчет к своему следующему сообщению.
  

 

Подробнее читайте в этом руководстве.

 

 

[Roman_Five]

@Светлана86,

я случайно стёр Ваше сообщение.
повторите, пожалуйста. 

[Светлана86]

 у меня вопрос по шагам из сообщения mike 1 деинсталлировать значит удалить? как это сделать?

выполнить скрипт - открыть программу авз и туда скопировать текст, кот дан выше?

вроде разобралась и все сделала

сообщение по запросу

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинетаhttps://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

518181ff074b6.dll

Вредоносный код в файле не обнаружен.

dpinterface32.dll

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

suptab.dll - not-a-virus:AdWare.Win32.Agent.aljt

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

.

hijackthis.log

AdwCleanerR0.txt

CollectionLog-2014.10.24-01.17.zip

[mike 1]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".
  

• По окончанию сканирования снимите галочки со следующих строк:
  

***** [ Службы ] *****

Служба Найдено : ICQ Service

 

***** [ Файлы / Папки ] *****

Папка Найдено : C:\Program Files\ICQ6Toolbar

Папка Найдено : C:\Program Files\Mail.Ru

Папка Найдено : C:\ProgramData\ICQ\ICQToolbar

Папка Найдено : C:\Users\пользователь\AppData\Local\Mail.Ru

Папка Найдено : C:\Users\пользователь\AppData\LocalLow\Mail.Ru

 

***** [ Реестр ] *****

Значение Найдено : HKCU\Software\Microsoft\Internet Explorer\Main [ICQ Search]

Ключ Найдено : HKCU\Software\ICQ\ICQToolbar

Ключ Найдено : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\ICQ\ICQToolBar

Ключ Найдено : HKLM\SOFTWARE\Classes\AppID\ICQ Service.exe

Ключ Найдено : HKLM\SOFTWARE\Classes\ICQToolBar.IEHook

Ключ Найдено : HKLM\SOFTWARE\Classes\ICQToolBar.IEHook.1

Ключ Найдено : HKLM\SOFTWARE\ICQ\ICQToolbar

Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ICQToolbar

• Нажмите кнопку "Clean" и дождитесь окончания удаления.
  

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  

• Прикрепите отчет к своему следующему сообщению
  

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

[Светлана86]

отчет после удаления

AdwCleanerS0.txt

[mike 1]

Что с проблемой?

[Светлана86]

вроде ничего не всплывает. Спасибо за помощь! Это настоящее волшебство  

[mike 1]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt