Перейти к содержанию

Реклама в браузере


Pravda

Рекомендуемые сообщения

Здравствуйте! Помогите почистить компьютер. Антивирусник стоит, недавно активирован новый период, до этого был перерыв, видимо нахватали. Проверки не находят проблем.

Реклама на открываемых страницах (мелкая, справа, слева, внизу), через некоторое время урлы на страницах становятся не активными и любое нажатие кнопки мыши открывает дополнительную вкладку в браузере с сайтом рекламы

CollectionLog-2015.01.09-22.14.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Admin\AppData\Roaming\Steam\Reversed\steam.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Unity\googleupd.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\25125\Updater.exe','');
 QuarantineFile('C:\Windows\SysWOW64\netupdsrv.exe','');
 DeleteService('ServiceUpdater');
 DeleteFile('C:\Windows\SysWOW64\netupdsrv.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\25125\Updater.exe','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Unity\googleupd.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Steam\Reversed\steam.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\torrentexpress\torrentexpress.exe');
 TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe');
 TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\apnmcp.exe');
 SetServiceStart('APNMCP', 4);
 StopService('APNMCP');
 DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe','32');
 DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','32');
 DeleteFile('C:\Program Files (x86)\TorrentExpress\TorrentExpress.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ApnTBMon');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorrentExpress');
 DeleteService('APNMCP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: TrustMediaViewerV1alpha4400 - {d44a5d6e-e5f2-420f-9a02-3828440c88d9} - (no file)
O4 - HKCU\..\Run: [TorrentExpress] "C:\Program Files (x86)\TorrentExpress\TorrentExpress.exe" 

 
Сделайте новые логи по правилам (только пункт 3).

+ 2 лога

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

Ссылка на комментарий
Поделиться на другие сайты

отправьте в карантин всё найденное в MBAm  (КРОМЕ этих 2-х строк):

Files: 235
RiskWare.Tool.CK, C:\Program Files\TC\Programs\UltraISO\App\UltraISO\reg.zip, , [88100fe5e2a7999d91d83e97738ec040], 
PUP.Optional.Bunndle, C:\Users\Admin\Downloads\warcraft 3 frozen thronerepack tfile ru.zip, , [6a2e569edaaf3bfbb5af6df0ae526d93], 
новый лог приложите

 

удалите всё найденное в AdwCleaner

новый лог приложите.

 

проверьте на virustotal.com эти 2 файла (вверху).

ссылки на проверки приложите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • оlег
      От оlег
      "..."Яндекс.Браузер" обладает "самым минималистичным интерфейсом на рынке", заявил дизайнер "Яндекса" Константин Горский. В верхней части веб-обозревателя, судя по показанным на презентации скриншотам, находятся поисковая строка (при введении запроса она становится желтой), панель вкладок, кнопка "Яндекс" и кнопка "Назад"; прочие элементы управления отсутствуют. ..."
       
      http://www.lenta.ru/news/2012/10/01/yabrowser/
       
      Первую версию браузера (как для Windows, так и для Mac OS X) можно загрузить по этому адресу начиная с 17:00 1 октября.
      http://browser.yandex.ru/?all
    • Ant666
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
    • 123343545646
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • ДмитрийКасперскийКлуб
      От ДмитрийКасперскийКлуб
      При запуске ноутбука открывается бразуер с ссылкой на рекламу, так же после перезапуска бывает сворачивается полноэкранное приложение, будто что-то на фоне начинает выполняться на секунду, что сворачивает активное приложение. После анализа CureIt был обнаружен и вылечен троян trojan starter 7691. Подозреваю, что могло начаться после использования zapret-discord-youtube архива (уже удалил его).
      Заранее большое спасибо за помощь!
      CollectionLog-2024.12.16-13.39.zip
    • John-80
      От John-80
      Добрый день.
      Во время работы, при переходе на некоторые страницы в браузере (яндекс браузер для организаций) происходит переадресация на страницу sweetgain.top
      Проверка машины антивирусом ничего не дает. Собран лог-файл... можете подсказать как удалить лишнее?
      avz_log.txt
×
×
  • Создать...