Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите убрать баннер с url'ом bobrilla.com из браузеров (http://forum.oszone.net/showthread.php?t=241068)

Sub-Zero 21-08-2012 18:29 1974121
Помогите убрать баннер с url'ом bobrilla.com из браузеров
 
При заходе на каждый практически сайт выскакивает flash баннер. Содержимое баннера разное - то он круглый то прямоугольный.
Это происходит во всех установленных браузерах. Пробовал удалять, ставить по новой - один фиг.
Почистил все что только можно. Удалил темп, куки, кэш, флэш плеер, и яву.
Теперь IE стал писать об ошибках сценария и в дебаггере такой код:

Сведения об ошибке на веб-странице
Агент пользователя: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C)
штамп времени: Tue, 21 Aug 2012 14:17:17 UTC
Сообщение: "console" не определено
Строка: 1
Символ: 4135
Код: 0
URI-код: http://bobrilla.com/6bk2wga5mhl6ecpjnlc5jo7ecil7df96r5hhumt6s?&ms3biq=http%3A//ru.wikipedia.org/wiki/Unlocker&59mh69zo=67541635&7mnu8lu2r7ujml=http%3A//www.emptyloop.com/unlocker/&425ts=0&35usf=0&3mplc=0&2xfcx=0

AVZ, Антивирус Касперского и другие утилиты не помогли :( Как убить эту бобриллу?

S.R 21-08-2012 20:00 1974172
Выполните http://forum.oszone.net/thread-98169.html

Sub-Zero 24-08-2012 18:47 1976369
логи AVZ и HijackThis
Эта дрянь аж на трех компах засела... Везде одинаковые симптомы.

alex_sev 24-08-2012 19:07 1976381
Сейчас поглядим

Первое:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\DRIVERS\wod0205.sys','');
 QuarantineFile('c:\program files (x86)\jabpunch\jabpunch.exe','');
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Второе:

Подготовьте лог OTL by OldTimer

Третье
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Sub-Zero 24-08-2012 20:22 1976414
jabpunch.exe - Хорошая программа, я сам её ставил и баннеры были задолго до её установки на компьютер. Проблема 100% не в ней.
Теперь баннер исчез но... в IE9 при открытии какого либо сайта одновременно с ним открывается дополнительная вкладка с всё той же бобриллой, а далее эта вкладка автоматом редиректит на сайт с проститутками.
логи OTL и adwcleaner

alex_sev 24-08-2012 20:24 1976415
Я знаю, что не в ней, просто для коллекции необходимо, так что скрипт выполняйте и карантин высылайте.
Интернет через роутер получаете?

Держите, вот Ваш поддельный DHCP и DNS серверы (выделил жирным), удаляйте из настроек интернета

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.12.219.20 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{613DDCE4-10AB-4020-87EA-67EF04BAB67A}: DhcpNameServer = 217.12.219.20 192.168.1.1

Sub-Zero 24-08-2012 20:58 1976433
Цитата:
Цитата alex_sev
Я знаю, что не в ней, просто для коллекции необходимо, так что скрипт выполняйте и карантин высылайте.
Интернет через роутер получаете?
Держите, вот Ваш поддельный DHCP и DNS серверы (выделил жирным), удаляйте из настроек интернета
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.12.219.20 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{613DDCE4-10AB-4020-87EA-67EF04BAB67A}: DhcpNameServer = 217.12.219.20 192.168.1.1 »
Да через роутер ASUS WL 520GU. Я где-то читал что есть вероятность заражения линукса на роутере. Комп как раз получает ip по dhcp с роутера. Этот адрес я видел в реестре и раньше когда только начал рыть эту проблему - из реестра тер его везде, но он снова появляется. Сейчас скину роутер в дефолт и прошью кастомной прошивкой. Далее выполню все скрипты как положено :) и отправлю лог.

Sub-Zero 28-08-2012 12:09 1978409
Вирус действительно был в роутере. И это он выдавал машинам левые ip адреса по DHCP.
После переустановки прошивки на роутере из реестра компов исчезли левые адреса и вместе с ними пропали баннеры.
Карантин вышлю сегодня попозже.


Время: 13:22.

Время: 13:22.
© OSzone.net 2001-