Перейти к содержанию

[Лог!] Реклама в браузере


Рекомендуемые сообщения

не знаю откуда появилась какая то непонятная реклама в браузере,вот скрин.проверял на вирусы нашел 4

удалено: троянская программа Trojan-PSW.Win32.Lmir.cav Файл: C:\WINDOWS\system32\Wow.exe//NSPack

удалено: троянская программа Trojan-GameThief.Win32.OnLineGames.asfx Файл: C:\WINDOWS\system32\soni32drv.dll

удалено: троянская программа Trojan-PSW.Win32.Lmir.cav Файл: C:\System Volume Information\_restore{F83EBEC1-F22C-4EFE-8AA9-DFBFE0E02B97}\RP52\A0062444.exe//NSPack

удалено: троянская программа Trojan-GameThief.Win32.OnLineGames.asfx Файл: C:\System Volume Information\_restore{F83EBEC1-F22C-4EFE-8AA9-DFBFE0E02B97}\RP52\A0062445.dll

Кто знает что это может быть ,поясните.и как с этим бороться ? Она на каждой странице. А когда в explorere в строке например набираю kaspersky.ru меня перекидывает на http://search.msn.com/results.aspx?srch=10...w.kaspersky.ru/

post-7658-1230147382_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

У тебя троян! У меня тоже была такая реклама.Ты с этого браузера в инет пока не выходи,могут провести сетевую атаку . У меня KIS только через два дня после появления рекламы обнаружил трояна и удалил,и то после того как провели сетевую атаку.

Ссылка на комментарий
Поделиться на другие сайты

У тебя троян! У меня тоже была такая реклама.Ты с этого браузера в инет пока не выходи,могут провести сетевую атаку . У меня KIS только через два дня после появления рекламы обнаружил трояна и удалил,и то после того как провели сетевую атаку.

ок.а где он лежит этот троян?или ты уже не помнишь...?

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\hphmon05.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\pdalib.dll','');
QuarantineFile('crypts.dll','');
QuarantineFile('C:\WINDOWS\system32\webcheck.dll','');
QuarantineFile('C:\WINDOWS\system32\stobject.dll','');
QuarantineFile('C:\WINDOWS\system32\ntbackup.exe','');
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('c:\windows\temp\2e58.tmp','');
QuarantineFile('C:\WINDOWS\system32\crypts.dll','');
DeleteFile('C:\WINDOWS\system32\crypts.dll');
DeleteFile('c:\windows\temp\2e58.tmp');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\pdalib.dll');
DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
DelBHO('{FBC934E6-6F95-4742-B6BC-F6E8D854C25D}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи, а в место HJT, cкачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты

Повторите логи, а в место HJT, cкачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

info.rar

log.rar

Ссылка на комментарий
Поделиться на другие сайты

Это точно какой-то BHO. Самое интересное, что если послать СМС, реклама не уберётся. Поэтому будьте бдительны! Не поддавайтесь на уловки злоумышлинников!

Ссылка на комментарий
Поделиться на другие сайты

И ещё один нюанс. Заметил в логах, что включено восстановление системы, я бы порекомендоавл его отключить, что бы убить все точки восстановления. т.к. они скорее всего заражены, а потом снова включиь.

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\crypts.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Пофиксить в HijackThis следующие строчки

 	O20 - Winlogon Notify: crypt - crypts.dll (file missing)

 

Вот так будет чише.

 

Восстановление системы: включено

 

Отключите, потом включите.

Ссылка на комментарий
Поделиться на другие сайты

  • 4 недели спустя...

снова столкнулся с этой же проблемой... логи будут минут через 15. было подозрение на backdoor.win32.GF.13x , скачал ловивконтакте для скачивания файлов с контакта, антивирус ничего не кричал. через пол дня,заходя в браузер, увидел снова эту рекламу. проверил компьютер нашел вирус 18.01.2009 23:04:26 Вылечено вирус HEUR:Trojan.Script.Iframer C:\Documents and Settings\Stas\Application Data\Auslogics\Rescue\One Button Checkup\090106150903921.rsc/090106150903921-000268.file

post-7658-1232311443_thumb.jpg

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

info.txt

log.txt

Изменено пользователем stk
Ссылка на комментарий
Поделиться на другие сайты

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelBHO('{C4791458-A3B2-4141-A6F5-05508DE9E9D0}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\agalib.dll','');
DelBHO('{1A6F66F8-04C0-414D-881B-91B2253C5960}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\mvvlib.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\mvvlib.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\agalib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @.

 

 

2.Пофиксить в HijackThis следующие строчки (какие будут)

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: mvvlibP - {1A6F66F8-04C0-414D-881B-91B2253C5960} - C:\Documents and Settings\All Users\Application Data\mvvlib.dll
O2 - BHO: agalibP - {C4791458-A3B2-4141-A6F5-05508DE9E9D0} - C:\Documents and Settings\All Users\Application Data\agalib.dll
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: crypt - crypts.dll (file missing)

 

Повторите логи снова.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Couita
      Автор Couita
      Здравствуйте! Появилось данная плашка, как ее скрыть? раздражает сильно
       

    • KL FC Bot
      Автор KL FC Bot
      В апреле, с выходом Google Chrome 136, наконец решена проблема приватности, которая есть во всех крупных браузерах и о которой широко известно с 2002 года. Причем еще 15 лет назад зарегистрирована ее массовая эксплуатация недобросовестными маркетологами. Это угрожающее описание имеет известная и, казалось бы, безобидная функция, элемент удобства: когда вы посетили какой-то сайт, ссылку на него ваш браузер начинает показывать другим цветом.
      «А хотите, я его кликну? Он станет фиолетовым в крапинку…»
      Менять цвет ссылки на посещенные сайты (по умолчанию — с синего на фиолетовый) придумали 32 года назад в браузере NCSA Mosaic, и оттуда эту удобную для пользователя практику заимствовали практически все браузеры девяностых. Затем она вошла и в стандарт стилизации веб-страниц, CSS. По умолчанию такое перекрашивание работает во всех популярных браузерах и сегодня.
      Еще в 2002 году исследователи обратили внимание, что этой системой можно злоупотреблять: на странице можно разместить сотни или тысячи невидимых ссылок и с помощью JavaScript проверять, какие из них браузер раскрашивает, как посещенные. Таким образом, посторонний сайт может частично раскрыть историю веб-браузинга пользователя.
      В 2010 году исследователи обнаружили, что этой технологией пользуются на практике: нашлись крупные сайты, шпионящие за историей веб-браузинга своих посетителей. В их числе были YouPorn, TwinCities и еще 480 популярных на тот момент сайтов. Услугу анализа чужой истории предлагали сервисы Tealium и Beencounter, а против рекламной фирмы interclick, внедрившей эту технологию для аналитики, был подан судебный иск. Суд фирма выиграла, но производители основных браузеров изменили код обработки ссылок, чтобы считывать состояние посещенности ссылок «в лоб» стало невозможно.
      Но развитие веб-технологий создавало новые обходные пути для подглядывания за историей посещений сайтов, хранимой браузером. Исследование 2018 года описало четыре новых способа проверять состояние ссылок, причем к двум из них были уязвимы все протестированные браузеры, кроме Tor Browser, а один из дефектов, CVE-2018-6137, позволял проверять посещенные пользователем сайты со скоростью до 3000 ссылок в секунду. Новые, все более сложные атаки по извлечению истории веб-браузинга, продолжают появляться и сейчас.
       
      View the full article
    • Игорь11
      Автор Игорь11
      Здравствуйте.
      Внезапно появилась проблема с KIS. В первой половине этого (2023) года KIS стал блокировать любые сайти, открываемые с помощью браузеров Яндекс, Атом и Хромиум-ГОСТ.
      В Яндекс-браузере открывается и работает только поиск яндекса. Переход на любой сайт:
      Не удаётся установить соединение с сайтом.
      Соединение сброшено.
      В Атом и Хромиум-ГОСТ блокируется всё.
      Попытка поставить в исключение не помогла.
      Помогает только приостановка защиты KIS.
      Другие браузеры (Edge, Хром, Firefox, Опера) работают без проблем.
      Подскажите, если знаете, в чём тут дело?
      ОС - Виндовс10проф
      KIS 21.3.10.391
      Всё официально и с последними обновлениями.
    • RussiaRuleZzZ
      Автор RussiaRuleZzZ
      Здравствуйте.
       
      Windows 10 x64.
      FireFox стал открывать странички с различной рекламой, игр, казино и т.д. В том числе странички на ХХХ сайты. Рандомно.
      Скан др. Веб показал вредоносные файлы, они были удалены. НО это было сделано до обращения, поэтому информация не сохранена, что там было. ЭТо не помогло, проблема осталась.
      Изначально стоит КИС с лицензией, но судя по всему он не предотвратил попадание какого-то вируса рекламы.
       
      Прикладываю CollectionLog-2020.05.16-13.23.zip
      Заранее спасибо.
      CollectionLog-2020.05.16-13.23.zip
    • moretti
      Автор moretti
      начал замечать что ФПС в играх упал и просто комп стал работать не так как раньше очень насторожило решил проверить антивирусом но скачать не смог так как просто напросто выбрасывало с браузера, далее хотел по простому снести Винду но и тут ничего не вышло. помогитеее
×
×
  • Создать...