Перейти к содержанию
Правила раздела

реклама в браузере, переход на подозрительные сайты, Mail.ru плагины

V_S_N

Автор V_S_N
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

V_S_N

V_S_N

Опубликовано
Опубликовано (изменено)

Появилась навязчивая реклама. Браузер самопроизвольно запускается, открывает страницы "казино", разные рекламные сайты, "блоги", вспывают баннеры "знакомства". В браузере навязывается стартовая страница Mail.ru, а также, поиск через Mail.ru.

 

Компьютер проверен KVRT, обнаруженные угрозы удалены. Все равно в браузере открываются ссылки на указанные выше подозрительные сайты: казино и т.п....

 

В приложении логи.

CollectionLog-2017.03.19-13.55.zip

Изменено пользователем V_S_N
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{E3605470-291B-44EB-8648-745EE356599A}');
 QuarantineFile('C:\Program Files (x86)\Youtube AdBlockIE\0VjLidxi.dll','');
 QuarantineFile('C:\Users\manager\AppData\Roaming\MediaPlayerApplication2\MediaPlayerApplication.exe','');
 TerminateProcessByName('c:\program files (x86)\youtube adblockie\uuzi1f0l.exe');
 QuarantineFile('c:\program files (x86)\youtube adblockie\uuzi1f0l.exe','');
 DeleteFile('c:\program files (x86)\youtube adblockie\uuzi1f0l.exe','32');
 DeleteFile('C:\Users\manager\AppData\Roaming\MediaPlayerApplication2\MediaPlayerApplication.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaPlayerApplication');
 DeleteFile('C:\Program Files (x86)\Youtube AdBlockIE\0VjLidxi.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Youtube AdBlock2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Youtube AdBlock.job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for Youtube AdBlock','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for Youtube AdBlock2','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
V_S_N

V_S_N

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{E3605470-291B-44EB-8648-745EE356599A}');
 QuarantineFile('C:\Program Files (x86)\Youtube AdBlockIE\0VjLidxi.dll','');
 QuarantineFile('C:\Users\manager\AppData\Roaming\MediaPlayerApplication2\MediaPlayerApplication.exe','');
 TerminateProcessByName('c:\program files (x86)\youtube adblockie\uuzi1f0l.exe');
 QuarantineFile('c:\program files (x86)\youtube adblockie\uuzi1f0l.exe','');
 DeleteFile('c:\program files (x86)\youtube adblockie\uuzi1f0l.exe','32');
 DeleteFile('C:\Users\manager\AppData\Roaming\MediaPlayerApplication2\MediaPlayerApplication.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaPlayerApplication');
 DeleteFile('C:\Program Files (x86)\Youtube AdBlockIE\0VjLidxi.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Youtube AdBlock2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Youtube AdBlock.job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for Youtube AdBlock','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for Youtube AdBlock2','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

 

 

 

Ок, спасибо. А разве дело в плагине Youtube Ad Block ? Я его сам поставил уже после возникновения этих проблем. Из браузера Chrome, он в доверенных плагинах...

Ссылка на комментарий
Поделиться на другие сайты
V_S_N

V_S_N

Опубликовано
  • Автор
Опубликовано (изменено)

@thyrex,

Сделал. Лог в приложении. 

 

Только это... Там в письме ниже что-то про сайт www.zcc.ru. Не понимаю, почему он упоминается. Я туда специально захожу. Он самопроизвольно не открывался никогда! В браузере стартовая страница стоит - мой корпоративный, рабочий Bitrix для zcc.ru

 

KLAN-5981273722

 

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме



В антивирусных базах информация по присланным вами файлам отсутствует:

0VjLidxi.dll

MediaPlayerApplication.exe

uuzi1f0l.exe



В антивирусных базах информация по присланным вами ссылкам отсутствует:

www.zcc.ru



Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."

CollectionLog-2017.03.19-18.33.zip

Изменено пользователем V_S_N
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Я тоже впервые вижу упоминание сайта в ответе вирлаба :)

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Михаил Ш.
      Подозрительный сайт tonzz3.ru
      Автор Михаил Ш.
      Обнаружил у себя в кэше на сервере подозрительные записи.
      KES стоит, подозрительной активности не наблюдаю, так что вроде бы сервер в порядке.
      Но данных по сайту в интернете нет.
      Главная страница это явно инжектор скриптов, что в таком виде как сейчас явно намекает на нелегитимное использование.
      Возможно из KSN можно получить больше полезной информации? и в случае подтверждения опасений внести в базу.
       
      Имена:
      tonzz3.ru
      hit.tonzz3.ru
      hitcrypt.tonzz3.ru
       
      P.S. не нашёл подходящей темы и выбрал текущую. Помощь с сервером не нужна.
      Сообщение от модератора kmscom тема перемещена из раздела Помощь в удалении вирусов
    • initial77
      Остановлен переход на недоверенный сайт - отключить
      Автор initial77
      Добрый день,
       
      Как это отключить раз и навсегда?
      Я не могу даже попасть на собственный роутер, меня это выбешивает уже.
      Если это нельзя отключить я просто удалю ваш продукт.
      Я не хочу ковыряться с исключениями - как просто взять и отключить этот кусок функционала??
    • Bercolitt
      Почему пропадают расширения в браузерах при переходе в режим безопасных платежей?
      Автор Bercolitt
      В браузере (Google Chrome) установлены расширения "Kaspersky Protection" и "Kaspersky Password Manager". При переходе с него в защищенный режим эти расширения пропадают.
    • Bercolitt
      Невозможно добиться изменения перехода на нужный сайт в режиме безопасных платежей для аккаунта из хранилища Kaspersky Password Manager.
      Автор Bercolitt
      В качестве сайта выбираю https://www.vtb.ru для аккаунта в хранилище. Прописываю сайт в безопасных платежах Kaspersky Plus. Делаю переход на сайт и попадаю в безопасные платежи на браузере Firefox, хотя в настройках Windows 10 указываю по умолчанию браузер Google Chrome.
      Сейчас личный кабинет на сайте стал дурить.На несколько секунд появляется нормальное изображение, потом фон резко темнеет, буквы с трудом различимы. Нажимаешь кружок со стрелкой рядом с адресной строй URL для перезагрузки  личного кабинета. Фон становится белым, но буквы постепенно становятся размытыми. Какое-то издевательство, видимо программисты постарались. Уж не фишинговый ли это сайт?
    • para87
      [РЕШЕНО] браузер сам пытается перейти на сайт
      Автор para87
      браузер Google Chrome  не всегда бывает  сам пытается перейти на сайт (byruthub.org   не надо на него переходить)  . Касперский останавливает переход на этот сайт.  
      я скачал   AV block remover (AVbr) v.4 подумал манер  тут safezone.cc запустил пишет скачайте новую версию. Его лог.  Я попробовал переименовал или  в другой место переместить  тоже самое.  Версия вроде новая.
      Malwarebytes обнаружила PUP.Optional.BundleInstaller я не чего с ними не делал лог вот 
       
      CollectionLog-2024.09.26-17.54.zip AV_block_remove_2024.09.26-18.07.log
      Malwarebytes Отчет о проверке 2024-09-26 182543.txt
×
×
  • Создать...