|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Всплывающая реклама в Mozilla, смена домашней страницы и не только... |
|
|||||
|
|
Всплывающая реклама в Mozilla, смена домашней страницы и не только...
|
|
Пользователь Сообщения: 123 |
Здравствуйте!
Женщины искали рецепт мыльного раствора в интернете... загрузили и запустили некий файлик, скачанный с некоего сайта... Итоги: в Firefox произошла смена домашней страницы (официально стоит yandex, но изначально он загружает теперь http://pop.yeawindows.com/) + постоянно выскакивает различная всплывающая реклама в нем. Также (даже сейчас, при работе в браузере в Comodo Dragon и при регистрации на oszone.ru вверху страницы реклама: 1). Эротический тайский массаж - именно то, что вам нужно! 2). Кошмарные кадры экстремального секса! Народ в шоке! 3). Гибель дочери Путина: страшная правда о случившемся. Также антивирус (Comodo Internet Security) находит вредоносные объекты (могу привести, напишите, если нужно и в логах их нет) и блокирует их. Логи во вложении... Сменился шрифт у всех значков на Рабочем столе... |
|
|
Отправлено: 12:19, 28-01-2018 |
Ветеран Сообщения: 5318
|
Профиль | Отправить PM | Цитировать Здравствуйте!
Через Панель управления - Удаление программ - удалите нежелательное ПО: Цитата:
Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\program files (x86)\yeadesktop\yeadesktop.exe');
TerminateProcessByName('C:\Program Files\3JDY2B9R52\3JDY2B9R5.exe');
TerminateProcessByName('C:\Program Files\P3C3KI397H\QLHXCPPBW.exe');
TerminateProcessByName('C:\Program Files\TKTXM1KTFD\69ZCU1QUE.exe');
TerminateProcessByName('C:\Windows\Temp\g86A4.tmp.exe');
StopService('UbarCalloutDriver');
QuarantineFile('C:\Program Files (x86)\AMLyRCNlUIE\kEbOpdR7x.dll', '');
QuarantineFile('C:\Program Files (x86)\EIVqbhZCU\cSmrZy.dll', '');
QuarantineFile('C:\Program Files (x86)\jtPeraHZWlxuYtVRBkR\nqZPKPL.dll', '');
QuarantineFile('C:\Program Files (x86)\OahiAhLMPlKqC\fUKvikz.dll', '');
QuarantineFile('C:\Program Files (x86)\PAaFRntpKTdU2\YcaSamZrfZAyi.dll', '');
QuarantineFile('c:\program files (x86)\yeadesktop\yeadesktop.exe', '');
QuarantineFile('C:\Program Files\3JDY2B9R52\3JDY2B9R5.exe', '');
QuarantineFile('C:\Program Files\5862Q26ZYI\5862Q26ZY.exe', '');
QuarantineFile('C:\Program Files\668NDOA8DQ\668NDOA8D.exe', '');
QuarantineFile('C:\Program Files\7HQOQ40TAF\K6X3Y36UA.exe', '');
QuarantineFile('C:\Program Files\H278JZLYSR\H278JZLYS.exe', '');
QuarantineFile('C:\Program Files\JTKOEKTALL\D81V6OJSG.exe', '');
QuarantineFile('C:\Program Files\M4TIO7LDJH\M4TIO7LDJ.exe', '');
QuarantineFile('C:\Program Files\P3C3KI397H\QLHXCPPBW.exe', '');
QuarantineFile('C:\Program Files\TKTXM1KTFD\69ZCU1QUE.exe', '');
QuarantineFile('C:\Program Files\UBar\UbarDriver.sys', '');
QuarantineFile('C:\Program Files\XJQMLQKNX2\XJQMLQKNX.exe', '');
QuarantineFile('C:\Program Files\YPP0FB2Y0H\S4677FSHV.exe', '');
QuarantineFile('C:\Program Files\ZJL69GPJ81\ZJL69GPJ8.exe', '');
QuarantineFile('C:\ProgramData\Pluslax\Vilalight.dll', '');
QuarantineFile('C:\Users\росток48\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '');
QuarantineFile('C:\Users\росток48\AppData\Local\Temp\00015120\msiql.exe', '');
QuarantineFile('C:\Users\росток48\AppData\Roaming\gplyra\gplyra.exe', '');
QuarantineFile('C:\Users\росток48\appdata\roaming\threatdatabase\tdget.exe', '');
QuarantineFile('C:\Windows\Temp\g86A4.tmp.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "bVyBIwMCwVjnlcc2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "CcUoDIeswNjImb" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "RjugMwUzTsQQHAQNApl2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "VHDezYAiMmhSpjSVJ2" /F', 0, 15000, true);
DeleteFile('C:\Program Files (x86)\AMLyRCNlUIE\kEbOpdR7x.dll', '32');
DeleteFile('C:\Program Files (x86)\EIVqbhZCU\cSmrZy.dll', '32');
DeleteFile('C:\Program Files (x86)\jtPeraHZWlxuYtVRBkR\nqZPKPL.dll', '32');
DeleteFile('C:\Program Files (x86)\OahiAhLMPlKqC\fUKvikz.dll', '32');
DeleteFile('C:\Program Files (x86)\PAaFRntpKTdU2\YcaSamZrfZAyi.dll', '32');
DeleteFile('c:\program files (x86)\yeadesktop\yeadesktop.exe', '32');
DeleteFile('C:\Program Files\3JDY2B9R52\3JDY2B9R5.exe', '32');
DeleteFile('C:\Program Files\580JAB12O5\CCP59EXMJ.exe', '32');
DeleteFile('C:\Program Files\5862Q26ZYI\5862Q26ZY.exe', '32');
DeleteFile('C:\Program Files\668NDOA8DQ\668NDOA8D.exe', '32');
DeleteFile('C:\Program Files\7HQOQ40TAF\K6X3Y36UA.exe', '32');
DeleteFile('C:\Program Files\EUYPS5N2IC\EUYPS5N2I.exe', '32');
DeleteFile('C:\Program Files\H278JZLYSR\H278JZLYS.exe', '32');
DeleteFile('C:\Program Files\JTKOEKTALL\D81V6OJSG.exe', '32');
DeleteFile('C:\Program Files\M4TIO7LDJH\M4TIO7LDJ.exe', '32');
DeleteFile('C:\Program Files\P3C3KI397H\QLHXCPPBW.exe', '32');
DeleteFile('C:\Program Files\TKTXM1KTFD\69ZCU1QUE.exe', '32');
DeleteFile('C:\Program Files\UBar\UbarDriver.sys', '32');
DeleteFile('C:\Program Files\XJQMLQKNX2\XJQMLQKNX.exe', '32');
DeleteFile('C:\Program Files\YPP0FB2Y0H\S4677FSHV.exe', '32');
DeleteFile('C:\Program Files\ZJL69GPJ81\ZJL69GPJ8.exe', '32');
DeleteFile('C:\ProgramData\Pluslax\Vilalight.dll', '32');
DeleteFile('C:\Users\росток48\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32');
DeleteFile('C:\Users\росток48\AppData\Local\Temp\00015120\msiql.exe', '32');
DeleteFile('C:\Users\росток48\AppData\Roaming\gplyra\gplyra.exe', '32');
DeleteFile('C:\Users\росток48\appdata\roaming\threatdatabase\tdget.exe', '32');
DeleteFile('C:\Windows\Temp\g86A4.tmp.exe', '32');
DeleteService('UbarCalloutDriver');
DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '3H3P6BKSB12CO1K');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AASNA4J6YB9IV4R');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BONGTSVW58HIZ0G');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BPWBGGQ52PWALOS');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C57EHJV3DQMQ6U2');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'E7N31BDLMP0G5NX');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FUFCUW4UFXYUYFO');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GUDZTGORJFJO2IN');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'JEIVQMGA817FV6H');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'KQT21PNG3F4OCZZ');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mailruhomesearch');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'msiql');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OEKIOXNDM85GE4U');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'S1L22RM6BESIHMM');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YeaDesktop');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Z4BTBRIV9Q6ZUTS');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZF1M2H5TUDAB1AZ');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #1');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gplyra');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите свежий CollectionLog. |
|
|
------- Отправлено: 10:59, 29-01-2018 | #2 |
|
Пользователь Сообщения: 123
|
Профиль | Отправить PM | Цитировать Здравствуйте!
Quarantine по форме выслал, логи новые (во вложении) сделал. После перезагрузки антивирус, хоть и был отключен, что-то "бабахнул" в одной из папок... Исходя из этого предполагаю, что убить все не удалось... Но в Firefox прекратились самозагружаться различные ссылки... |
|
Последний раз редактировалось Razey, 24-10-2021 в 17:00. Отправлено: 21:34, 30-01-2018 | #3 |
|
Ветеран Сообщения: 5318
|
Профиль | Отправить PM | Цитировать Продолжаем:
Подробнее читайте в этом руководстве. |
|
------- Отправлено: 09:34, 31-01-2018 | #4 |
|
Пользователь Сообщения: 123
|
Профиль | Отправить PM | Цитировать Здравствуйте!
Спасибо! Лог AdwCleaner'a во вложении. |
|
|
Последний раз редактировалось Razey, 13-06-2023 в 11:35. Отправлено: 14:24, 31-01-2018 | #5 |
|
Ветеран Сообщения: 5318
|
Профиль | Отправить PM | Цитировать 1.
Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. |
|
------- Отправлено: 14:25, 31-01-2018 | #6 |
|
Пользователь Сообщения: 123
|
Профиль | Отправить PM | Цитировать Здравствуйте!
Привожу 2 лога AdwCleaner'a, т.к. перед первым удалением забыл поставить "галочки" в разделе "Сбросить" для "Политики IE" и "Политики Chrome". Лог FRST также во вложении. Также после первой перезегрузки (после чистки AdwCleaner'a) антивирус нашел два *.exe файла в папке C:\Windows\Temp... После второй перезагрузки (второй чистки-дочистки (когад поставил галочки для политик IE i Chrome) ничего не выдал... ...После перезагрузки компа в папке C:\Windows\Temp были найдены 4 *.exe файла с рандомными именами... Антивирус вроде их бабахнул... |
|
Последний раз редактировалось Razey, 13-06-2023 в 11:35. Отправлено: 21:04, 31-01-2018 | #7 |
|
Ветеран Сообщения: 5318
|
Профиль | Отправить PM | Цитировать Не хватает еще лога Addition.txt
|
|
------- Отправлено: 09:30, 01-02-2018 | #8 |
|
Пользователь Сообщения: 123
|
Профиль | Отправить PM | Цитировать Да, благодарю!
Вложил. |
|
Последний раз редактировалось Razey, 13-06-2023 в 11:35. Отправлено: 12:19, 01-02-2018 | #9 |
|
Пользователь Сообщения: 123
|
Профиль | Отправить PM | Цитировать Вложил-таки файл...
|
|
Последний раз редактировалось Razey, 13-06-2023 в 11:35. Отправлено: 12:21, 01-02-2018 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Всплывающая реклама в браузерах. | Alik15 | Лечение систем от вредоносных программ | 9 | 20-05-2015 15:08 | |
| [решено] всплывающая реклама вконтакте | zinop | Лечение систем от вредоносных программ | 8 | 29-08-2014 17:15 | |
| Help! Всплывающая реклама и прочая бяка | Tropikusik | Лечение систем от вредоносных программ | 12 | 17-07-2014 20:45 | |
| [решено] всплывающая реклама вконтакте | For_Sites@twitter | Хочу все знать | 9 | 14-01-2014 15:21 | |
| Всплывающая реклама | rivera | Флейм | 5 | 30-07-2010 15:21 | |
|
|
Время: 00:59. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
