Перейти к содержанию
Правила раздела

При открытии любой ссылки выходит реклама.

PublicEnemy

От PublicEnemy
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

PublicEnemy Новичок

PublicEnemy

Опубликовано
Опубликовано

Со вчерашнего дня появилась проблема. При открытии любого сайта в любом браузере по сторонам экрана всплывает порядка 5 одних и тех же всплывающих окон с флэш рекламой. Систему проверил с помощью - Kaspersky Virus Removal Tool 2015 было найденно несколько вирусов и удалено. Проблема не решена.

 

CollectionLog-2015.05.13-22.17.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Windows\loader.exe','');
 DelBHO('{88803a01-4125-443b-b869-4062a160ceea}');
 QuarantineFile('C:\opera.bat','');
 QuarantineFile('C:\iexplore.bat','');
 StopService('Update Mgr GlassBottle');
 StopService('Service Mgr GlassBottle');
 DeleteService('Update Mgr GlassBottle');
 DeleteService('Service Mgr GlassBottle');
 TerminateProcessByName('c:\program files\common files\51603d73-31f4-492f-a43e-5b71fef2ce15\updater.exe');
 QuarantineFile('c:\program files\common files\51603d73-31f4-492f-a43e-5b71fef2ce15\updater.exe','');
 TerminateProcessByName('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugincontainer.exe');
 QuarantineFile('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugincontainer.exe','');
 TerminateProcessByName('C:\ProgramData\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\3\Plugin.exe');
 QuarantineFile('C:\ProgramData\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\3\Plugin.exe','');
 TerminateProcessByName('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\2\plugin.exe');
 QuarantineFile('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\2\plugin.exe','');
 TerminateProcessByName('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\3\plugin.exe');
 QuarantineFile('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\3\plugin.exe','');
 TerminateProcessByName('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\5\plugin.exe');
 QuarantineFile('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\5\plugin.exe','');
 TerminateProcessByName('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\8\plugin.exe');
 QuarantineFile('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\8\plugin.exe','');
 QuarantineFile('c:\program files\liveupdatewpp\liveupdatewpp.exe','');
 DeleteFile('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\8\plugin.exe','32');
 DeleteFile('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\5\plugin.exe','32');
 DeleteFile('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\3\plugin.exe','32');
 DeleteFile('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\2\plugin.exe','32');
 DeleteFile('C:\ProgramData\51603d73-31f4-492f-a43e-5b71fef2ce15\plugins\3\Plugin.exe','32');
 DeleteFile('c:\programdata\51603d73-31f4-492f-a43e-5b71fef2ce15\plugincontainer.exe','32');
 DeleteFile('c:\program files\common files\51603d73-31f4-492f-a43e-5b71fef2ce15\updater.exe','32');
 DeleteFile('C:\ProgramData\51603d73-31f4-492f-a43e-5b71fef2ce15\plugincontainer.exe','32');
 DeleteFile('C:\Program Files\Common Files\51603d73-31f4-492f-a43e-5b71fef2ce15\updater.exe','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\opera.bat','32');
 DeleteFile('C:\Program Files\Glass Bottle\Extensions\88803a01-4125-443b-b869-4062a160ceea.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
PublicEnemy Новичок

PublicEnemy

Опубликовано
  • Автор
Опубликовано (изменено)

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
 
 

Среди удалённых папок была "Glass Bottle" и все всплывающие окна имеют такую же подпись.

AdwCleanerS0.txt

Изменено пользователем PublicEnemy
Ссылка на комментарий
Поделиться на другие сайты
PublicEnemy Новичок

PublicEnemy

Опубликовано
  • Автор
Опубликовано (изменено)

что с проблемой?

Bezimyanni_2682235_17293556.jpg

 

 

Ну вот как-то так. Осталась в общем. Единственное что перестала на вашем сайте выскакивать. Хотя до этого была и тут. Всё бы ничего но рожа Буша уже надоела за весь день.

Изменено пользователем PublicEnemy
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
ShellIconOverlayIdentifiers: [KAVOverlayIcon] -> {014F27E2-6D75-4E42-A0E9-2A2C68498AFA} =>  No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (Переводчик для Chrome 2) - C:\Users\WoodmanCasting\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcnhkahnjcbndmmehfkdnkjomaanaooo [2014-09-15]
2015-05-08 22:38 - 2015-05-13 22:54 - 00000000 ____D () C:\Users\Все пользователи\51603d73-31f4-492f-a43e-5b71fef2ce15
2015-05-08 22:38 - 2015-05-13 22:54 - 00000000 ____D () C:\ProgramData\51603d73-31f4-492f-a43e-5b71fef2ce15
2015-05-08 22:38 - 2015-05-13 22:54 - 00000000 ____D () C:\Program Files\Common Files\51603d73-31f4-492f-a43e-5b71fef2ce15
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты
PublicEnemy Новичок

PublicEnemy

Опубликовано
  • Автор
Опубликовано

Что с проблемой?

Спасибо проблема решена. Вирус проставил во все браузеры "дополнения/плагины" которые запускали данные всплывающие окна. После ручного удаления и с вашей помощью удаления вируса всё работает нормально.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
  • Скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
Да


В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt

Прикрепите этот отчет в вашей теме.


 

 


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt


 

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Хасан Абдурахман
      Касперский тормозит открытие сайтов.
      От Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • grammer91
      [РЕШЕНО] Powershell пытается запустить переход по вредоносной ссылке
      От grammer91
      Добрый день!
       
      Проблема в следующем: после запуска системы примерно через 30 секунд запускается и сразу закрывается Powershell, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Проверку на вирусы запускал дважды, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему, пожалуйста
      CollectionLog-2024.11.14-11.33.zip
    • qvotop
      Падает скорость интернета при открытии кс2
      От qvotop
      Здравствуйте. Неделю назад заметил такую проблему, что, когда открываю кс2, падает скорость интернета. В кс2 я нахожусь в лобби, то есть практически не нагружаю сеть. Я замерил скорость интернета в соседней комнате при закрытой кс2 - 42мбит/с. При открытой - 20мбит/с. Если я её сверну (а не закрою), измерю скорость интернета, то скорость будет 42мбит/с. А если разверну, то скорость придёт в норму (42мбит/с), но ненадолго, через какое время точно сказать не могу, но то что она через время опять падает факт (потому что при игре в кс2 у другого человека в соседней комнате плохо грузит интернет, хотя в той сессии игры, при которой у человека был плохой интернет, я точно сворачивал и разворачивал игру( я это пишу к тому, что сворачивание не лечит проблему)). Я проверял нагрузку на сеть через диспетчер задач и монитор ресурсов при такой аномалии, но нигде скачков интернета не было. Прогонял пк через антивирус, он нашёл какой-то Trojan.Win64.Agent.qwlfvi. Эта штука появилась после того, как я скачивал от человека, которому доверял, уникализатор фотографий и как раз вроде после этого началась вот такая фигня. Ещё до завершения проверки я через антивирус удалил этот объект, но плашка о том, что один объект не обработан ещё висит (и ссылка идёт на тот объект, который я уже удалил). Я бы сюда прикрепил этот архив с уникализатором, но он весит 94 мб, а тут максимум 5мб 

      CollectionLog-2024.08.02-20.39.zip
    • Grandmanmakc
      Сильно скачет фпс, ссылку темы прикрепляю из другого раздела
      От Grandmanmakc
    • Александр Тихий
      Добавляются ссылки с рекламным содержанием в разметку сайта
      От Александр Тихий
      Сайт https://restoll.ru/. Работает под управлением CMS Битрикс + Аспро + много плагинов и самописа.
       
      Некоторое время назад сео-специалистами при анализе вебвизора Яндекс были обнаружены посторонние ссылки на страницах сайта. Во всех обнаруженных случаях это три ссылки с анкорами про онлайн-казино на главной странице сайта под слайдером https://skr.sh/sQ3AoBr2YUf После обновления страницы они исчезли. Поиск этих анкоров на других страницах и в коде не дал результатов.
       
      Сео-спецы пишут, что смогли увидеть ссылки только при разрешении как у пользователя 1138 на 712. Ссылок всегда по три, но они имеют разные анкоры и url (хотя все про казино). Вот эти удалось сохранить:
      https://petathome.ru/com/igrovye-avtomaty-onlayn-slot-81
      https://garantspecstroy.ru/com/kazino-onlayn-prilozhenie-83
      https://petathome.ru/com/igrovoy-avtomat-garazhi-skachat-besplatno-79
      https://petathome.ru/com/igrat-v-kazino-na-dengi-yandeks-dengi-20
       
      Но и я смог зафиксировать подобного рода ссылки на 2560х1440 с масштабом 125%. В моем случае код добавленных ссылок исключительно простой (скриншот😞
      <div id="footer" class="content foot footer"><ul><li><a href="https://markov-dom.com/pr/sildenafil-s3-otzyvy-forum-muzhchin-5b">силденафил с3 отзывы форум мужчин</a></li><li><a href="https://markov-dom.com/pr/tadalafil-cena-gde-kupit-af">тадалафил цена где купить</a></li><li><a href="https://markov-dom.com/pr/sildenafil-otzyvy-muzhchin-pri-razovom-primenenii-s-alkogolem-otzyvy-realnyh-lyudey-a5">силденафил отзывы мужчин при разовом применении с алкоголем отзывы реальных людей</a></li></ul></div> 
       
      Закономерности в появлении ссылок найти не удалось.
       
      Сайт был просканирован онлайн сканером DrWeb - вирусов найдено не было
       
      Сервер у нас выделенный, но хостер дедалик не предоставляет услуг по сканированию и удалению вирусов. Сервер управляется последней версией ISP Manager, в ней куплен модуль Dr. Web, который при сканировании ничего не обнаружил. Ручной поиск вредоноса к успеху не привел и идеи у меня закончились. 
       
      Может быть уважаемые пользователи форума сталкивались с подобными случаями или знают как с этим бороться. Будем благодарны за помощь.
       
×
×
  • Создать...