Вирусная реклама

@Pustorg · Регистрация: 05.09.2013

Author24 — интернет-сервис помощи студентам

Здравствуйте, уважаемые сисадмины и программисты

Помогите побороть вирус, который поселился на моем ПК. Проявляет он себя следующим образом: при открытии любой страницы в браузерах Internet Explorer, Opera, Google Crome выскакивают окна с вирусной рекламой. Закрываются окна просто нажатие на кнопку "закрыть" или крестик, но они появляются на каждой новой странице или закладке, при переходах по гиперссылке.
Был установлен антивирус Ad-Avare. Проверка им проблему не устранила, хотя и были удалены некоторые зараженные файлы. Система была проверена с помощью загрузочного диска от Касперского. также были удалены определенные зараженные файлы, но проблема осталась. Был установлен Avast, проверка была проведена до загрузки системы - ситуация аналогична, удалено было еще несколько файлов. На текущий момент зараженных файлов антивирус не находит, но вирусная реклама появляется стабильно.
Провел диагностику согласно Вашей инструкции, прикрепил файлы. Заранее благодарен за помощь.

С уважением, Виталий.

@Sandor · 05.09.2013, 17:14

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Users\новотек\Documents\Iterra\qrvjork.dll','');
 DeleteFile('C:\Users\новотек\Documents\Iterra\qrvjork.dll');
 QuarantineFileF('C:\Users\новотек\Documents\Iterra','*', true,'',0 ,0);
 DeleteFileMask('C:\Users\новотек\Documents\Iterra', '*', true);
 DeleteDirectory('C:\Users\новотек\Documents\Iterra');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(21);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки, выполните такой скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Повторите логи AVZ (стандартный скрипт 2) и RSIT.

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

@Pustorg · 06.09.2013, 00:10 **[ТС]**

Выполнил вышеуказанные действия, прикрепляю файлы.

@Sandor · 06.09.2013, 09:17

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:

Обнаруженные ключи в реестре:
HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято.

Обнаруженные папки: 1
C:\Users\новотек\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Users\новотек\AppData\Roaming\OpenCandy\npp.5.6.6.Installer.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Что с проблемой?

@Pustorg · 06.09.2013, 12:40 **[ТС]**

На текущий момент проблема с появлением вирусной рекламы отсутствует, в браузерах Opera и Internet Explorer страницы открываются нормально, вирусные рекламные блоки замечены небыли.

@Sandor · 06.09.2013, 12:44

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

@Pustorg · 06.09.2013, 22:58 **[ТС]**

Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 06.09.2013 21:56:35
Run directory: C:\Tmp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True

FileVersionInet: 5.7
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x64) HomePremium Lang: Russian(0419)
Дата установки ОС: 05.02.2010 21:11:17
Статус лицензии: Windows(R) 7, HomePremium edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [285.4 Гб] Занято: [260.8 Гб] Свободно: [24.6 Гб]
Браузер по умолчанию: C:\Program Files (x86)\Opera\Launcher.exe
-------------Windows------------------------------
Internet Explorer 9.10.9200.16635 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-07-22 16:23:44
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
avast! Antivirus
Windows Defender
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.8.0.1497.0
-------------OtherUtilities-----------------------
CCleaner v.3.13
Foxit Reader v.6.0.3.524 Внимание! Скачать обновления
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 6 Update 14 (64-bit) v.6.0.140 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u25-windows-x64.exe)^
Java(TM) 7 Update 1 (64-bit) v.7.0.10
Java(TM) SE Development Kit 7 Update 1 (64-bit) v.1.7.0.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-7u25-windows-x64.exe)^
Java(TM) 6 Update 26 v.6.0.260 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u25-windows-i586.exe)^
Java(TM) 7 Update 1 v.7.0.10
Java(TM) SE Development Kit 7 Update 1 v.1.7.0.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-7u25-windows-i586.exe)^
Java Auto Updater v.2.0.5.1
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.8.800.94
Adobe Flash Player 11 Plugin v.11.8.800.94
Adobe Reader 8.1.2 v.8.1.2 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox (3.6.2pre) v.3.6.2pre (ru) Внимание! Скачать обновления
Mozilla Firefox (3.6.18) v.3.6.18 (ru) Внимание! Скачать обновления
Opera Stable 16.0.1196.73 v.16.0.1196.73 [+]
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\16.0.1196.73\opera.exe v.16.0.1196.73
-------------EndLog-------------------------------

Добавлено через 1 минуту
Выполнил удаление указанных файлов. Огромное спасибо за Вашу работу.

Новые блоги и статьи
Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .	Полезные поделки на Arduino, которые можно сделать самому raxper 06.01.2025 Arduino как платформа для творчества Arduino представляет собой удивительную платформу для технического творчества, которая открывает безграничные возможности для создания уникальных проектов. Эта. . .	Подборка решений задач на Python IT_Exp 06.01.2025 Целью данной подборки является предоставление возможности ознакомиться с различными задачами и их решениями на Python, что может быть полезно как для начинающих, так и для опытных программистов. . . .
С чего начать программировать микроконтроллеры raxper 06.01.2025 Введение в мир микроконтроллеров Микроконтроллеры стали неотъемлемой частью современного мира, окружая нас повсюду: от простых бытовых приборов до сложных промышленных систем. Эти маленькие. . .	Из чего собрать игровой компьютер inter-admin 06.01.2025 Сборка игрового компьютера требует особого внимания к выбору комплектующих и их совместимости. Правильно собранный игровой ПК не только обеспечивает комфортный геймплей в современных играх, но и. . .	Обновление сайта www.historian.by Reglage 05.01.2025 Обещал подвести итоги 2024 года для сайта. Однако начну с того, что изменилось за неделю. Добавил краткий урок по последовательности действий при анализе вредоносных файлов и значительно улучшил урок. . .	Как использовать GraphQL в C# с HotChocolate Programming 05.01.2025 GraphQL — это современный подход к разработке API, который позволяет клиентам запрашивать только те данные, которые им необходимы. Это делает взаимодействие с API более гибким и эффективным по. . .	Модель полного двоичного сумматора с помощью логических операций (python) AlexSky-coder 04.01.2025 def binSum(x:list, y:list): s=^y] p=x and y for i in range(1,len(x)): s. append((x^y)^p) p=(x and y)or(p and (x or y)) return s x=list() y=list()	Это мы не проходили, это нам не задавали...(асихронный счётчик с управляющим сигналом зад Hrethgir 04.01.2025 Асинхронный счётчик на сумматорах (шестиразрядный по числу диодов на плате, но наверное разрядов будет больше - восемь или шестнадцать, а диоды на старшие), так как триггеры прошли тестирование и. . .

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,196
	05.09.2013, 17:14	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ 1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\новотек\Documents\Iterra\qrvjork.dll',''); DeleteFile('C:\Users\новотек\Documents\Iterra\qrvjork.dll'); QuarantineFileF('C:\Users\новотек\Documents\Iterra','', true,'',0 ,0); DeleteFileMask('C:\Users\новотек\Documents\Iterra', '', true); DeleteDirectory('C:\Users\новотек\Documents\Iterra'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(21); ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. Компьютер перезагрузится. 2. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 3. Повторите логи AVZ (стандартный скрипт 2) и RSIT. 4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве 1

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,196
	06.09.2013, 09:17	4
	Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только: Обнаруженные ключи в реестре: HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято. Обнаруженные папки: 1 C:\Users\новотек\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято. Обнаруженные файлы: C:\Users\новотек\AppData\Roaming\OpenCandy\npp.5.6.6.Installer.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. Что с проблемой? 0

@Pustorg 0 / 0 / 0 Регистрация: 05.09.2013 Сообщений: 4
	06.09.2013, 12:40 [ТС]	5
	На текущий момент проблема с появлением вирусной рекламы отсутствует, в браузерах Opera и Internet Explorer страницы открываются нормально, вирусные рекламные блоки замечены небыли. 0

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,196
	06.09.2013, 12:44	6
	Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. Рекомендации после удаления вредоносного ПО 1

@Pustorg 0 / 0 / 0 Регистрация: 05.09.2013 Сообщений: 4
	06.09.2013, 22:58 [ТС]	7
	Security Check by glax24 version 0.2.4.58 rc1 WebSite: www.safezone.cc DateLog: 06.09.2013 21:56:35 Run directory: C:\Tmp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True FileVersionInet: 5.7 __________________________________________________ Windows 7 (6.1.7601) Service Pack 1 (x64) HomePremium Lang: Russian(0419) Дата установки ОС: 05.02.2010 21:11:17 Статус лицензии: Windows(R) 7, HomePremium edition Постоянная активация прошла успешно. Системный диск: C:\ ФС: NTFS Емкость: [285.4 Гб] Занято: [260.8 Гб] Свободно: [24.6 Гб] Браузер по умолчанию: C:\Program Files (x86)\Opera\Launcher.exe -------------Windows------------------------------ Internet Explorer 9.10.9200.16635 Внимание! Скачать обновления Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен Уведомлять о загрузке и установке обновлений Дата установки обновлений: 2013-07-22 16:23:44 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ avast! Antivirus Антивирус обновлен -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- avast! Antivirus Windows Defender -------------AntiVirusFirewallInstall------------- avast! Free Antivirus v.8.0.1497.0 -------------OtherUtilities----------------------- CCleaner v.3.13 Foxit Reader v.6.0.3.524 Внимание! Скачать обновления Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300 -------------Java--------------------------------- Java(TM) 6 Update 14 (64-bit) v.6.0.140 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-7u25-windows-x64.exe)^ Java(TM) 7 Update 1 (64-bit) v.7.0.10 Java(TM) SE Development Kit 7 Update 1 (64-bit) v.1.7.0.10 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-7u25-windows-x64.exe)^ Java(TM) 6 Update 26 v.6.0.260 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-7u25-windows-i586.exe)^ Java(TM) 7 Update 1 v.7.0.10 Java(TM) SE Development Kit 7 Update 1 v.1.7.0.10 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-7u25-windows-i586.exe)^ Java Auto Updater v.2.0.5.1 -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX v.11.8.800.94 Adobe Flash Player 11 Plugin v.11.8.800.94 Adobe Reader 8.1.2 v.8.1.2 Внимание! Скачать обновления -------------Browser------------------------------ Mozilla Firefox (3.6.2pre) v.3.6.2pre (ru) Внимание! Скачать обновления Mozilla Firefox (3.6.18) v.3.6.18 (ru) Внимание! Скачать обновления Opera Stable 16.0.1196.73 v.16.0.1196.73 [+] -------------RunningProcess----------------------- C:\Program Files (x86)\Opera\16.0.1196.73\opera.exe v.16.0.1196.73 -------------EndLog------------------------------- Добавлено через 1 минуту Выполнил удаление указанных файлов. Огромное спасибо за Вашу работу. 0