Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Браузер Амиго, рекламные баннеры

kostyan2008

Автор kostyan2008
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

kostyan2008

kostyan2008

Опубликовано
Опубликовано

После скачивания одной программы, на компьютер установился браузер Амиго и файлы от mail.ru. Нагрузка процессора составляла 100%. Очень много непонятных процессов в диспетчере задача. Так же начали всплывать вкладки с рекламой, очень много глупой и бредовой рекламы на сайтах, где она не должна быть. Пробовал почистить антивирусами, но до конца все не удалилось.

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано (изменено)

Вы в каком городе? Как называется ваш провайдер?

Программы/расширения от Mail.ru используете?
 

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('D:\Users\Константин\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('D:\Users\Константин\appdata\local\yc\application\yc.exe', '');
 QuarantineFile('D:\Users\Константин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('D:\Users\Константин\Favorites\Links\Интернет.url', '');
 QuarantineFileF('d:\users\константин\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('D:\Users\Константин\appdata\local\yc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('D:\Users\Константин\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('D:\Users\Константин\appdata\local\yc\application\yc.exe', '32');
 DeleteFile('D:\Users\Константин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk');
 DeleteFile('D:\Users\Константин\Favorites\Links\Интернет.url');
 DeleteFileMask('d:\users\константин\appdata\local\yc', '*', true);
 DeleteFileMask('D:\Users\Константин\appdata\local\yc\', '*', true);
 DeleteDirectory('D:\Users\Константин\appdata\local\yc\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - HKLM\System\CCS\Services\Tcpip\..\{3E91E0CB-B356-4CB4-93EA-1EDF40CC4D57}: NameServer = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E91E0CB-B356-4CB4-93EA-1EDF40CC4D57}: NameServer = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E91E0CB-B356-4CB4-93EA-1EDF40CC4D57}: NameServer = 82.202.226.203
O17 - HKLM\System\CCS\Services\Tcpip\..\{67C7B6E9-E728-4234-9BBF-902BFDBC9C55}: NameServer = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{67C7B6E9-E728-4234-9BBF-902BFDBC9C55}: NameServer = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{67C7B6E9-E728-4234-9BBF-902BFDBC9C55}: NameServer = 82.202.226.203
O17 - HKLM\System\CCS\Services\Tcpip\..\{9847C4DD-F545-4665-A462-967666F471E1}: NameServer = 85.175.46.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9847C4DD-F545-4665-A462-967666F471E1}: NameServer = 85.175.46.130
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3E91E0CB-B356-4CB4-93EA-1EDF40CC4D57}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3E91E0CB-B356-4CB4-93EA-1EDF40CC4D57}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{3E91E0CB-B356-4CB4-93EA-1EDF40CC4D57}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{67C7B6E9-E728-4234-9BBF-902BFDBC9C55}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{67C7B6E9-E728-4234-9BBF-902BFDBC9C55}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{67C7B6E9-E728-4234-9BBF-902BFDBC9C55}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9847C4DD-F545-4665-A462-967666F471E1}: NameServer = 85.175.46.122
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9847C4DD-F545-4665-A462-967666F471E1}: NameServer = 85.175.46.130
O22 - Task: (disabled) \Doctor Web\Dr.Web Daily scan - D:\Program Files\DrWeb\dwscanner.exe /full (file missing)

 

Если вдруг после фикса пропадёт интернет, то пропишите настройки DNS рекомендованные провайдером.

 

HitmanPro.Alert Служба  3 - деинсталируйте.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.


 

Ссылка на комментарий
Поделиться на другие сайты
kostyan2008

kostyan2008

Опубликовано
  • Автор
Опубликовано (изменено)

Сделал все что описано выше, проблема осталась.

KLAN-7362636551

 

https://virusinfo.info/virusdetector/report.php?md5=64412D434DD8687868F325F8214D1992

AdwCleanerC0.txt

AdwCleanerS0.txt

CollectionLog-2017.12.17-12.05.zip

Изменено пользователем kostyan2008
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

"Пофиксите" в HijackThis:

R3 - HKCU: Default URLSearchHook is missing
O22 - Task: (disabled) \Doctor Web\Dr.Web Daily scan - D:\Program Files\DrWeb\dwscanner.exe /full (file missing)

 

Отключите все расширения в браузере и проверяйте проблему.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • korenis
      браузер закрывается сам по себе
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • PiGeMa
      Не открывается защищенный режим браузера Firefox
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
    • Jacket45
      При запуске компьютера и браузера самостоятельно скачивается ablock
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
    • rancol347
      [РЕШЕНО] Появляются рекламные вирусы по мнению КВРТ в файлах расширений для хрома и называются bg.js. Хром не использую
      Автор rancol347
      Иногда проверяю компьютер КВРТ и он выдал 2 рекламных вируса/расширения. После лечения с перезагрузкой всё вроде нормально, но если через 2-3 дня проверить снова появляется 1-2 расширения (not-a-virus:HEUR:AdWare.js.extredirect.gen и ещё какой-то, но по названию самый обычный адварь). И могу ли запустить автологгер вместе с защитником виндовс? (я не понял как выгрузить) и компьютер теоретически должен выдержать.
    • KL FC Bot
      Защита истории посещений в браузерах | Блог Касперского
      Автор KL FC Bot
      В апреле, с выходом Google Chrome 136, наконец решена проблема приватности, которая есть во всех крупных браузерах и о которой широко известно с 2002 года. Причем еще 15 лет назад зарегистрирована ее массовая эксплуатация недобросовестными маркетологами. Это угрожающее описание имеет известная и, казалось бы, безобидная функция, элемент удобства: когда вы посетили какой-то сайт, ссылку на него ваш браузер начинает показывать другим цветом.
      «А хотите, я его кликну? Он станет фиолетовым в крапинку…»
      Менять цвет ссылки на посещенные сайты (по умолчанию — с синего на фиолетовый) придумали 32 года назад в браузере NCSA Mosaic, и оттуда эту удобную для пользователя практику заимствовали практически все браузеры девяностых. Затем она вошла и в стандарт стилизации веб-страниц, CSS. По умолчанию такое перекрашивание работает во всех популярных браузерах и сегодня.
      Еще в 2002 году исследователи обратили внимание, что этой системой можно злоупотреблять: на странице можно разместить сотни или тысячи невидимых ссылок и с помощью JavaScript проверять, какие из них браузер раскрашивает, как посещенные. Таким образом, посторонний сайт может частично раскрыть историю веб-браузинга пользователя.
      В 2010 году исследователи обнаружили, что этой технологией пользуются на практике: нашлись крупные сайты, шпионящие за историей веб-браузинга своих посетителей. В их числе были YouPorn, TwinCities и еще 480 популярных на тот момент сайтов. Услугу анализа чужой истории предлагали сервисы Tealium и Beencounter, а против рекламной фирмы interclick, внедрившей эту технологию для аналитики, был подан судебный иск. Суд фирма выиграла, но производители основных браузеров изменили код обработки ссылок, чтобы считывать состояние посещенности ссылок «в лоб» стало невозможно.
      Но развитие веб-технологий создавало новые обходные пути для подглядывания за историей посещений сайтов, хранимой браузером. Исследование 2018 года описало четыре новых способа проверять состояние ссылок, причем к двум из них были уязвимы все протестированные браузеры, кроме Tor Browser, а один из дефектов, CVE-2018-6137, позволял проверять посещенные пользователем сайты со скоростью до 3000 ссылок в секунду. Новые, все более сложные атаки по извлечению истории веб-браузинга, продолжают появляться и сейчас.
       
      View the full article
×
×
  • Создать...