Перейти к содержанию
Правила раздела

при клике на ссылку переходит на сайт рекламы

senigor76

Автор senigor76
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

senigor76

senigor76

Опубликовано
Опубликовано

здравствуйте. ос w8.1 в опере при клике на ссылку или кнопку иногда переходит на сайт рекламы. еще на страницах выскакивает банер. помогите пожалуйста.

CollectionLog-2015.01.28-20.02.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DelBHO('{bc8c4384-d19c-474b-a298-c90b7e5c5204}');
QuarantineFile('C:\WINDOWS\system32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}w64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{1f504ccc-2549-476d-9244-b03a2f407980}w64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{04149c3d-8572-400f-84ef-5aa7e85721a9}w64.sys','');
DeleteService('{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}w64');
DeleteService('{1f504ccc-2549-476d-9244-b03a2f407980}w64');
DeleteService('{04149c3d-8572-400f-84ef-5aa7e85721a9}w64');
SetServiceStart('Util WiseEnhance', 4);
DeleteService('Util WiseEnhance');
SetServiceStart('Update WiseEnhance', 4);
DeleteService('Update WiseEnhance');
QuarantineFile('C:\Program Files (x86)\WiseEnhance\WiseEnhanceBHO.dll','');
QuarantineFile('C:\Program Files (x86)\WiseEnhance\bin\WiseEnhance.expextdll.dll','');
QuarantineFile('C:\Program Files (x86)\WiseEnhance\bin\WiseEnhance.BrowserFilter.Helper.dll','');
QuarantineFile('C:\Program Files (x86)\WiseEnhance\bin\79927c883ad24cc2b84e7c2db334abab.dll','');
TerminateProcessByName('C:\Program Files (x86)\WiseEnhance\bin\WiseEnhance.PurBrowse64.exe');
QuarantineFile('C:\Program Files (x86)\WiseEnhance\bin\WiseEnhance.PurBrowse64.exe','');
TerminateProcessByName('c:\program files (x86)\wiseenhance\bin\wiseenhance.expext.exe');
QuarantineFile('c:\program files (x86)\wiseenhance\bin\wiseenhance.expext.exe','');
TerminateProcessByName('C:\Program Files (x86)\WiseEnhance\bin\WiseEnhance.BrowserAdapter64.exe');
QuarantineFile('C:\Program Files (x86)\WiseEnhance\bin\WiseEnhance.BrowserAdapter64.exe','');
TerminateProcessByName('c:\program files (x86)\wiseenhance\bin\wiseenhance.browseradapter.exe');
QuarantineFile('c:\program files (x86)\wiseenhance\bin\wiseenhance.browseradapter.exe','');
TerminateProcessByName('c:\program files (x86)\wiseenhance\bin\wiseenhance.boashelper.exe');
QuarantineFile('c:\program files (x86)\wiseenhance\bin\wiseenhance.boashelper.exe','');
TerminateProcessByName('c:\program files (x86)\wiseenhance\bin\utilwiseenhance.exe');
QuarantineFile('c:\program files (x86)\wiseenhance\bin\utilwiseenhance.exe','');
TerminateProcessByName('c:\program files (x86)\wiseenhance\updatewiseenhance.exe');
QuarantineFile('c:\program files (x86)\wiseenhance\updatewiseenhance.exe','');
TerminateProcessByName('C:\Windows\RegPolicy\aticonto.exe');
QuarantineFile('C:\Windows\RegPolicy\aticonto.exe','');
DeleteFile('C:\Windows\RegPolicy\aticonto.exe','32');
DeleteFile('c:\program files (x86)\wiseenhance\updatewiseenhance.exe','32');
DeleteFile('c:\program files (x86)\wiseenhance\bin\utilwiseenhance.exe','32');
DeleteFile('c:\program files (x86)\wiseenhance\bin\wiseenhance.boashelper.exe','32');
DeleteFile('c:\program files (x86)\wiseenhance\bin\wiseenhance.browseradapter.exe','32');
DeleteFile('C:\Program Files (x86)\WiseEnhance\bin\WiseEnhance.BrowserAdapter64.exe','32');
DeleteFile('c:\program files (x86)\wiseenhance\bin\wiseenhance.expext.exe','32');
DeleteFile('C:\Program Files (x86)\WiseEnhance\bin\WiseEnhance.PurBrowse64.exe','32');
DeleteFile('C:\Program Files (x86)\WiseEnhance\bin\79927c883ad24cc2b84e7c2db334abab.dll','32');
DeleteFile('C:\Program Files (x86)\WiseEnhance\bin\WiseEnhance.BrowserFilter.Helper.dll','32');
DeleteFile('C:\Program Files (x86)\WiseEnhance\bin\WiseEnhance.expextdll.dll','32');
DeleteFile('C:\Program Files (x86)\WiseEnhance\WiseEnhanceBHO.dll','32');
DeleteFile('C:\WINDOWS\system32\drivers\{04149c3d-8572-400f-84ef-5aa7e85721a9}w64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{1f504ccc-2549-476d-9244-b03a2f407980}w64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}w64.sys','32');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
DeleteFile('C:\Users\Сергей\AppData\Local\Temp\_uninst_64566052.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

senigor76

senigor76

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

79927c883ad24cc2b84e7c2db334abab.dll,
aticonto.exe,
updatewiseenhance.exe,
utilwiseenhance.exe,
wiseenhance.boashelper.exe,
wiseenhance.browseradapter.exe,
WiseEnhance.BrowserAdapter64.exe,
wiseenhance.expext.exe,
WiseEnhance.expextdll.dll,
WiseEnhance.PurBrowse64.exe,
WiseEnhanceBHO.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

WiseEnhance.BrowserFilter.Helper.dll - not-a-virus:AdWare.Win32.Kranet.c

Это файл от рекламной системы. Детектирование файла будет добавлено в   следующее обновление расширенного набора баз. Подробная информация о   расширенных базах: http://www.kaspersky.ru/extraavupdates

С уважением, Лаборатория Касперского.  [KLAN-2474673788] 

как сделать новые логи?

mike 1

mike 1

Опубликовано
Опубликовано (изменено)
как сделать новые логи?

 

 

Еще раз выполните правила раздела.

Изменено пользователем mike 1
Roman_Five

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):



begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 ClearQuarantine;

 SetServiceStart('{79927c88-3ad2-4cc2-b84e-7c2db334abab}w64', 4);

 StopService('{79927c88-3ad2-4cc2-b84e-7c2db334abab}w64');

 QuarantineFile('C:\WINDOWS\system32\drivers\{79927c88-3ad2-4cc2-b84e-7c2db334abab}w64.sys','');

 DeleteFile('C:\WINDOWS\system32\drivers\{79927c88-3ad2-4cc2-b84e-7c2db334abab}w64.sys','32');

 DeleteService('{79927c88-3ad2-4cc2-b84e-7c2db334abab}w64');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin

DeleteFile('Qurantine.zip','');

ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);

end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::


1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.


 

Порядок действий на портале Kaspersky Virus Desk::


1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.


 

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yamdex.net/?zm

 

Сделайте новые логи по правилам (только пункт 3).
thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yamdex.net/?zm

 

Удалите вручную

C:\WINDOWS\system32\drivers\{79927c88-3ad2-4cc2-b84e-7c2db334abab}w64.sys

C:\Program Files (x86)\WiseEnhance

 

Что с проблемой?

mike 1

mike 1

Опубликовано
Опубликовано
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
senigor76

senigor76

Опубликовано
  • Автор
Опубликовано

похоже ваше сообщение не дописано,  надо скинуть лог? этот

 Security Check by glax24 version 0.2.5.61 rc2

WebSite: www.safezone.cc
DateLog: 03.02.2015 20:56:10
Run directory: C:\Users\Сергей\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 8.5 
__________________________________________________
 
Windows 8.1 (6.3.9200)  (x64) CoreSingleLanguage Lang: Russian(0419)
Дата установки ОС: 24.04.2014 07:58:18
Статус лицензии: Windows®, CoreSingleLanguage edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [279 Гб] Занято: [88.1 Гб] Свободно: [190.9 Гб]
Браузер по умолчанию: C:\Program Files (x86)\OpenOffice 4\program\swriter.exe
-------------Windows------------------------------
Internet Explorer 11.0.9600.17498
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2015-02-03 17:31:02
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Windows Defender
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------AdobeProduction----------------------
Adobe Reader XI (11.0.10) - Russian v.11.0.10 [+]
-------------Browser------------------------------
Opera Stable 27.0.1689.66 v.27.0.1689.66 [+]
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\27.0.1689.66\opera.exe v.27.0.1689.66
-------------EndLog-------------------------------

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Вячеслав Авдеев
      как удалить свой домен из антиспама?
      Автор Вячеслав Авдеев
      Купили домен, завели почту и сайт.
      Каперский автоматически причисляет все письма как спам.
      Что сделать, чтобы удалиться из спам-базы? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Уничтожение вирусов".
    • mkd
      Как они узнают, что вы искали в интернете?
      Автор mkd
      Друзья, привет! Заранее извиняюсь за возможный оффтоп... но на других ресурсах не смог найти информацию.   Меня, как и всех мучают телефонные мошенники и спамеры... Недавно пришлось установить софт (блокировщики звонков Яндекс+Тинькофф), стало лучше. Но вопрос не в этом.   Меня пугают, что звонящие знают слишком много обо мне: имя, телефон, банк которым пользуюсь и даже что я недавно искал в интернете. Т.е., к примеру, искал строителей - чере некоторое время несколько звонков по этой теме. Спрашиваю: "Откуда у вас этот номер?". Ответ: "Ну, наверно, вы оставили заявку на нашем сайте". Но я ничего не оставляю. И такое часто по разным товарам и услугам (разные сайты, разные сферы).  В браузере стоит AdGuard и некоторые другие приложения, которые блокируют всплывающие окна, автозаполнения и т.д. На винде в разное время стояли разные связки "антивирус+фаервол". Сейчас стоит только Касперский. Винду за эти годы несколько раз менял и компы менял...   Тем не менее, в последнее время я чувствую себя не обычным пользователем интернета, а какой-то мишенью, у которой на роже написаны все паспортные данные. И ещё пугает тенденция. Ещё несколько лет назад были холодные звонки "наобум" типа "возьмите кредит на выгодных условиях". Это понятно, в инет утекла база со связкой "имя+телефон". А сейчас уже связки "имя+номер+ip+поисковые запросы+банки". Блин, как так?? Как они узнают всё это?? Это просто жутко!! Что будет ещё через несколько лет??   При этом, я обычно стараюсь не публиковать ничего о себе, не писать личного на форумах и т.д. У меня есть закрытая страница Вконтакте, но без фото, без номера, без почты и её не обновляю уже 15 лет. Да, мне иногда приходится пользоваться сайтами с объявлениями типа Циан, Авито и т.д. Но это у всех так.   Народ, кто-нибудь шарит в этой теме? Как они узнают всё про человека? Как сайты узнают твоё имя и номер телефона? Что это за цифровой след такой? Как оставаться анонимным в интернете?   Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • ARMADA
      Массовая рассылка блогерам, фишинговый сайт gk-brains ru, троян.
      Автор ARMADA
      Доброго времени суток!
      Файл отправленный для анализа был скачан с сайта https:// gk-brains ru/
      Ссылка на данный сайт рассылается блогерам, с предложением о сотрудничестве.
      Письмо отправлено с адреса *****@*****.tld
      Я думаю это массовая рассылка, пожалуйста проанализируйте архив с сайта и файлы в нём, троян (а это 100% троян) содержится в "gb Договор на оказание рекламных услуг.scr", замаскирован под скринсейвер.
       
      Пожалуйста добавьте в базу обнаружения, а так же методику лечения данной угрозы. Знакомый ютубер додумался скачать и запустить. Думаем что делать дальше.
       
      Файл отправил для анализа через https://opentip.kaspersky.com/
      9144716EDCA4A448BCA5E6CA103A7758B2F839280E128155F68D9BFC9A20EEDF
       
      Очевидно что рассылка идёт прямо сейчас, и будет много жертв.
       
      Так же - хотелось бы алгоритм полного удаления из системы, со всеми "хвостами".
      Систему пока запускать боимся, думаю пролечить с загрузкой с флешки. 
      По сему KVRT и логи предоставить не могу.
    • Max132
      Добавление почтового адреса в спам
      Автор Max132
      Добрый день! Не могу найти функцию добавления нежелательного почтового ящика, с которого осуществляется спам-рассылка, в ksc 13.2
      Есть ли там функция спам-фильтра не только для файлов, но и для почтовых адресов?
      По сути нужно просто заблокировать почту , но я не вижу подходящего раздела
    • Annatvenn
      Вирус спамит запросами через SearchApp.exe
      Автор Annatvenn
      Заметил странный трафик исходящий от разных приложений, при детальном изучении пакетов и адресов, выяснил что это что то вроде парсинга сайтов на предмет уязвимостей или брута, адреса чаще всего ведут на формы авторизаций разных сайтов и тому подобное.
      Запросы шли от всех запущенных браузеров. 
      обнаружил проблему после запуска приложения Fiddler Classic, из-за того что не настроил сертификат (вроде бы я так это понимаю) и просто весь трафик начал блокироваться спам пошел с удвоенной силой и я его заметил, возможно особенность работы вируса, насколько могу судить он перебирает порты если не удалось установить соединение.
      После закрытия процессов всех браузеров спам начал идти через процесс SearchApp

      Через данное приложение спам уходит партиями каждый раз когда я нажимаю на поиск в строке поиска windows.

      CollectionLog-2024.04.06-02.26.zip
×
×
  • Создать...