Вирусная реклама

@Pustorg · Регистрация: 05.09.2013

Author24 — интернет-сервис помощи студентам

Здравствуйте, уважаемые сисадмины и программисты

Помогите побороть вирус, который поселился на моем ПК. Проявляет он себя следующим образом: при открытии любой страницы в браузерах Internet Explorer, Opera, Google Crome выскакивают окна с вирусной рекламой. Закрываются окна просто нажатие на кнопку "закрыть" или крестик, но они появляются на каждой новой странице или закладке, при переходах по гиперссылке.
Был установлен антивирус Ad-Avare. Проверка им проблему не устранила, хотя и были удалены некоторые зараженные файлы. Система была проверена с помощью загрузочного диска от Касперского. также были удалены определенные зараженные файлы, но проблема осталась. Был установлен Avast, проверка была проведена до загрузки системы - ситуация аналогична, удалено было еще несколько файлов. На текущий момент зараженных файлов антивирус не находит, но вирусная реклама появляется стабильно.
Провел диагностику согласно Вашей инструкции, прикрепил файлы. Заранее благодарен за помощь.

С уважением, Виталий.

@Sandor · 05.09.2013, 17:14

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Users\новотек\Documents\Iterra\qrvjork.dll','');
 DeleteFile('C:\Users\новотек\Documents\Iterra\qrvjork.dll');
 QuarantineFileF('C:\Users\новотек\Documents\Iterra','*', true,'',0 ,0);
 DeleteFileMask('C:\Users\новотек\Documents\Iterra', '*', true);
 DeleteDirectory('C:\Users\новотек\Documents\Iterra');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(21);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки, выполните такой скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Повторите логи AVZ (стандартный скрипт 2) и RSIT.

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

@Pustorg · 06.09.2013, 00:10 **[ТС]**

Выполнил вышеуказанные действия, прикрепляю файлы.

@Sandor · 06.09.2013, 09:17

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:

Обнаруженные ключи в реестре:
HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято.

Обнаруженные папки: 1
C:\Users\новотек\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Users\новотек\AppData\Roaming\OpenCandy\npp.5.6.6.Installer.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Что с проблемой?

@Pustorg · 06.09.2013, 12:40 **[ТС]**

На текущий момент проблема с появлением вирусной рекламы отсутствует, в браузерах Opera и Internet Explorer страницы открываются нормально, вирусные рекламные блоки замечены небыли.

@Sandor · 06.09.2013, 12:44

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

@Pustorg · 06.09.2013, 22:58 **[ТС]**

Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 06.09.2013 21:56:35
Run directory: C:\Tmp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True

FileVersionInet: 5.7
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x64) HomePremium Lang: Russian(0419)
Дата установки ОС: 05.02.2010 21:11:17
Статус лицензии: Windows(R) 7, HomePremium edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [285.4 Гб] Занято: [260.8 Гб] Свободно: [24.6 Гб]
Браузер по умолчанию: C:\Program Files (x86)\Opera\Launcher.exe
-------------Windows------------------------------
Internet Explorer 9.10.9200.16635 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-07-22 16:23:44
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
avast! Antivirus
Windows Defender
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.8.0.1497.0
-------------OtherUtilities-----------------------
CCleaner v.3.13
Foxit Reader v.6.0.3.524 Внимание! Скачать обновления
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 6 Update 14 (64-bit) v.6.0.140 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u25-windows-x64.exe)^
Java(TM) 7 Update 1 (64-bit) v.7.0.10
Java(TM) SE Development Kit 7 Update 1 (64-bit) v.1.7.0.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-7u25-windows-x64.exe)^
Java(TM) 6 Update 26 v.6.0.260 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u25-windows-i586.exe)^
Java(TM) 7 Update 1 v.7.0.10
Java(TM) SE Development Kit 7 Update 1 v.1.7.0.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-7u25-windows-i586.exe)^
Java Auto Updater v.2.0.5.1
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.8.800.94
Adobe Flash Player 11 Plugin v.11.8.800.94
Adobe Reader 8.1.2 v.8.1.2 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox (3.6.2pre) v.3.6.2pre (ru) Внимание! Скачать обновления
Mozilla Firefox (3.6.18) v.3.6.18 (ru) Внимание! Скачать обновления
Opera Stable 16.0.1196.73 v.16.0.1196.73 [+]
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\16.0.1196.73\opera.exe v.16.0.1196.73
-------------EndLog-------------------------------

Добавлено через 1 минуту
Выполнил удаление указанных файлов. Огромное спасибо за Вашу работу.

Новые блоги и статьи
Книги и учебные ресурсы по C# InfoMaster 08.01.2025 Базовые учебники и руководства Одной из лучших книг для начинающих является "C# 10 и . NET 6 для начинающих" Эндрю Троелсена и Филиппа Джепикса . Книга последовательно раскрывает основные концепции. . .	Что такое NullReferenceException и как исправить? InfoMaster 08.01.2025 NullReferenceException - одно из самых распространенных исключений, с которым сталкиваются разработчики на C#. Это исключение возникает при попытке обратиться к членам объекта (методам, свойствам или. . .	Что такое Null Pointer Exception (NPE) и как это исправить? InfoMaster 08.01.2025 Null Pointer Exception (NPE) - это одно из самых распространенных исключений в Java, которое возникает при попытке использовать ссылку на объект, значение которой равно null. Это исключение относится. . .	Русский язык в консоли C++ InfoMaster 08.01.2025 При разработке программ на C++ одной из частых проблем, с которой сталкиваются русскоязычные программисты, является корректное отображение кириллицы в консольных приложениях. Эта проблема особенно. . .	Telegram бот на C# InfoMaster 08.01.2025 Разработка ботов для Telegram стала неотъемлемой частью современной экосистемы мессенджеров. C# предоставляет мощный и удобный инструментарий для создания разнообразных ботов, от простых. . .	Использование GraphQL в Go (Golang) InfoMaster 08.01.2025 Go (Golang) является одним из наиболее популярных языков программирования, используемых для создания высокопроизводительных серверных приложений. Его архитектурные особенности и встроенные. . .
Что лучше использовать при создании класса в Java: сеттеры или конструктор? Alexander-7 08.01.2025 Вопрос подробнее: На вопрос: «Когда одновременно создаются конструктор и сеттеры в классе – это нормально?» куратор уточнил: «Ваш класс может вообще не иметь сеттеров, а только конструктор и геттеры. . .	Как работать с GraphQL на TypeScript InfoMaster 08.01.2025 Введение в GraphQL и TypeScript В современной разработке веб-приложений GraphQL стал мощным инструментом для создания гибких и эффективных API. В сочетании с TypeScript, эта технология. . .	Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,199
	05.09.2013, 17:14	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ 1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\новотек\Documents\Iterra\qrvjork.dll',''); DeleteFile('C:\Users\новотек\Documents\Iterra\qrvjork.dll'); QuarantineFileF('C:\Users\новотек\Documents\Iterra','', true,'',0 ,0); DeleteFileMask('C:\Users\новотек\Documents\Iterra', '', true); DeleteDirectory('C:\Users\новотек\Documents\Iterra'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(21); ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. Компьютер перезагрузится. 2. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 3. Повторите логи AVZ (стандартный скрипт 2) и RSIT. 4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве 1

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,199
	06.09.2013, 09:17	4
	Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только: Обнаруженные ключи в реестре: HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято. Обнаруженные папки: 1 C:\Users\новотек\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято. Обнаруженные файлы: C:\Users\новотек\AppData\Roaming\OpenCandy\npp.5.6.6.Installer.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. Что с проблемой? 0

@Pustorg 0 / 0 / 0 Регистрация: 05.09.2013 Сообщений: 4
	06.09.2013, 12:40 [ТС]	5
	На текущий момент проблема с появлением вирусной рекламы отсутствует, в браузерах Opera и Internet Explorer страницы открываются нормально, вирусные рекламные блоки замечены небыли. 0

@Sandor 22306 / 15787 / 3051 Регистрация: 08.10.2012 Сообщений: 64,199
	06.09.2013, 12:44	6
	Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. Рекомендации после удаления вредоносного ПО 1

@Pustorg 0 / 0 / 0 Регистрация: 05.09.2013 Сообщений: 4
	06.09.2013, 22:58 [ТС]	7
	Security Check by glax24 version 0.2.4.58 rc1 WebSite: www.safezone.cc DateLog: 06.09.2013 21:56:35 Run directory: C:\Tmp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True FileVersionInet: 5.7 __________________________________________________ Windows 7 (6.1.7601) Service Pack 1 (x64) HomePremium Lang: Russian(0419) Дата установки ОС: 05.02.2010 21:11:17 Статус лицензии: Windows(R) 7, HomePremium edition Постоянная активация прошла успешно. Системный диск: C:\ ФС: NTFS Емкость: [285.4 Гб] Занято: [260.8 Гб] Свободно: [24.6 Гб] Браузер по умолчанию: C:\Program Files (x86)\Opera\Launcher.exe -------------Windows------------------------------ Internet Explorer 9.10.9200.16635 Внимание! Скачать обновления Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен Уведомлять о загрузке и установке обновлений Дата установки обновлений: 2013-07-22 16:23:44 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ avast! Antivirus Антивирус обновлен -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- avast! Antivirus Windows Defender -------------AntiVirusFirewallInstall------------- avast! Free Antivirus v.8.0.1497.0 -------------OtherUtilities----------------------- CCleaner v.3.13 Foxit Reader v.6.0.3.524 Внимание! Скачать обновления Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300 -------------Java--------------------------------- Java(TM) 6 Update 14 (64-bit) v.6.0.140 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-7u25-windows-x64.exe)^ Java(TM) 7 Update 1 (64-bit) v.7.0.10 Java(TM) SE Development Kit 7 Update 1 (64-bit) v.1.7.0.10 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-7u25-windows-x64.exe)^ Java(TM) 6 Update 26 v.6.0.260 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-7u25-windows-i586.exe)^ Java(TM) 7 Update 1 v.7.0.10 Java(TM) SE Development Kit 7 Update 1 v.1.7.0.10 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-7u25-windows-i586.exe)^ Java Auto Updater v.2.0.5.1 -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX v.11.8.800.94 Adobe Flash Player 11 Plugin v.11.8.800.94 Adobe Reader 8.1.2 v.8.1.2 Внимание! Скачать обновления -------------Browser------------------------------ Mozilla Firefox (3.6.2pre) v.3.6.2pre (ru) Внимание! Скачать обновления Mozilla Firefox (3.6.18) v.3.6.18 (ru) Внимание! Скачать обновления Opera Stable 16.0.1196.73 v.16.0.1196.73 [+] -------------RunningProcess----------------------- C:\Program Files (x86)\Opera\16.0.1196.73\opera.exe v.16.0.1196.73 -------------EndLog------------------------------- Добавлено через 1 минуту Выполнил удаление указанных файлов. Огромное спасибо за Вашу работу. 0

Опции темы