Перейти к содержанию

Реклама в браузере


Рекомендуемые сообщения

Здравствуйте! Помогите почистить компьютер. Антивирусник стоит, недавно активирован новый период, до этого был перерыв, видимо нахватали. Проверки не находят проблем.

Реклама на открываемых страницах (мелкая, справа, слева, внизу), через некоторое время урлы на страницах становятся не активными и любое нажатие кнопки мыши открывает дополнительную вкладку в браузере с сайтом рекламы

CollectionLog-2015.01.09-22.14.zip

report1.log

report2.log

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Admin\AppData\Roaming\Steam\Reversed\steam.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Unity\googleupd.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\25125\Updater.exe','');
 QuarantineFile('C:\Windows\SysWOW64\netupdsrv.exe','');
 DeleteService('ServiceUpdater');
 DeleteFile('C:\Windows\SysWOW64\netupdsrv.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\25125\Updater.exe','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Unity\googleupd.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Steam\Reversed\steam.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи

Ссылка на сообщение
Поделиться на другие сайты
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\torrentexpress\torrentexpress.exe');
 TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe');
 TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\apnmcp.exe');
 SetServiceStart('APNMCP', 4);
 StopService('APNMCP');
 DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe','32');
 DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','32');
 DeleteFile('C:\Program Files (x86)\TorrentExpress\TorrentExpress.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ApnTBMon');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorrentExpress');
 DeleteService('APNMCP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: TrustMediaViewerV1alpha4400 - {d44a5d6e-e5f2-420f-9a02-3828440c88d9} - (no file)
O4 - HKCU\..\Run: [TorrentExpress] "C:\Program Files (x86)\TorrentExpress\TorrentExpress.exe" 

 
Сделайте новые логи по правилам (только пункт 3).

+ 2 лога

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

Ссылка на сообщение
Поделиться на другие сайты

отправьте в карантин всё найденное в MBAm  (КРОМЕ этих 2-х строк):

Files: 235
RiskWare.Tool.CK, C:\Program Files\TC\Programs\UltraISO\App\UltraISO\reg.zip, , [88100fe5e2a7999d91d83e97738ec040], 
PUP.Optional.Bunndle, C:\Users\Admin\Downloads\warcraft 3 frozen thronerepack tfile ru.zip, , [6a2e569edaaf3bfbb5af6df0ae526d93], 
новый лог приложите

 

удалите всё найденное в AdwCleaner

новый лог приложите.

 

проверьте на virustotal.com эти 2 файла (вверху).

ссылки на проверки приложите.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...