Вирус рекламного характера!

@akrossv · Регистрация: 04.12.2013

Author24 — интернет-сервис помощи студентам

Здравствуйте! Не так давно появился у меня вирус рекламного характера. Постоянно выскакивает такое оконце как в соц.сети "Вконтакте" - когда приходит новое сообщения. То есть в нижнем левом углу, пишет в рамке "Новое сообщения" и так постоянно. Какая то разная реклама идет в том оконце. Такое происходит не всегда, но чаще чем мне этого хотелось бы. Происходит на разных сайтах, форумах и в самой соц.сети "Вконтакте" и т.д.

Происходит это в браузерах Opera и Google Chrome. Возможно и в других так же, но пользуюсь я только этими...

До этого проверял полностью весь компьютер антивирусом Kaspersky Internet Security 2013. Были предупреждения, были вирусы, некоторые удалось вылечить, некоторые пришлось удалить. Так же чистил с помощью программы CCleaner файлы cookie, кэш и все что можно почистить в браузерах. Первое время ничего не беспокоило, но потом снова началось... И так же смотрел файл host ( C:\Windows\System32\drivers\etc ). Вроде все в порядке...

Что бы сделать что бы наверняка убрать эту проблему? Чистка файлов cookie и кэш помогает но не надолго, проблема периодически возвращается.

Спасибо.

@Sandor · 04.12.2013, 15:47

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@akrossv · 04.12.2013, 16:17 **[ТС]**

_ViruLogs_forum_04.12.2013_14.01.zip

@Sandor · 04.12.2013, 16:39

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Windows\system32\SSVICHOSST.exe','');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
 DeleteFile('C:\Program Files\Mozilla Firefox\firefox.url','32');
 DeleteFile('C:\Program Files\Safari\Safari.url','32');
 DeleteFile('C:\Program Files\Opera\launcher.url','32');
 DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\SSVICHOSST.exe');
 DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки, выполните такой скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Пересоздайте ярлыки запуска браузеров.

4. Повторите логи по правилам.

@akrossv · 04.12.2013, 17:25 **[ТС]**

Все сделал как описали: Архив "quarantine.zip" отправил на почту и все заполнил как указано. Сделал повторный лог по правилам.

_ViruLogs_forum_04.12.2013_15.08.zip

@Sandor · 04.12.2013, 17:33

Выполните скрипт в АВЗ (Файл - Выполнить скрипт) (AVZ запускать правой кнопкой от имени администратора):

Код

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 DeleteFile('C:\Windows\system32\SSVICHOSST.exe');
 DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

Еще раз, пожалуйста, повторите логи по правилам

@akrossv · 04.12.2013, 18:19 **[ТС]**

Да конечно, без проблем. _ViruLogs_forum_04.12.2013_16.01.zip

И еще в конце уже лога, выбросило мне вот такое: (Диск отсутствует).

Я нажал продолжить, и все, пошло дальше...

@Sandor · 04.12.2013, 18:29

Первоначальная проблема сохраняется?

@akrossv · 04.12.2013, 18:36 **[ТС]**

Пока не наблюдаю. Полет нормальный. Если что повториться отпишусь здесь. Спасибо.

@Sandor · 04.12.2013, 18:51

Хорошо. Закройте пока уязвимости системы:

Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен

-------------AdobeProduction----------------------
Adobe Flash Player 10 ActiveX v.10.0.12.36 Внимание! Скачать обновления
Adobe Reader X (10.1.8) - Russian v.10.1.8 Внимание! Скачать обновления

Добавлено через 9 минут
+

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS

@akrossv · 04.12.2013, 19:08 **[ТС]**

Программы обновил, полный образ автозапуска сделал.
ALEX_2013-12-04_16-59-03.7z

@Sandor · 04.12.2013, 21:34

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена (порядковые номера строк не копируйте):
Код
```
;uVS v3.81.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

breg

delall %Sys32%\SSVICHOSST.EXE

deltmp
restart
```
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.

Повторите полный образ автозапуска uVS.

@akrossv · 04.12.2013, 22:53 **[ТС]**

Сделал. Полный образ автозапуска uVS: ALEX_2013-12-04_20-45-17.7z

@Sandor · 04.12.2013, 23:11

Вот теперь - порядок! Выписываем)))

Придерживайтесь рекомендаций:
Рекомендации после удаления вредоносного ПО
Удачи!

@akrossv 0 / 0 / 0 Регистрация: 04.12.2013 Сообщений: 9
		1
	Вирус рекламного характера! 04.12.2013, 15:29. Показов 1463. Ответов 13 Метки нет (Все метки) Здравствуйте! Не так давно появился у меня вирус рекламного характера. Постоянно выскакивает такое оконце как в соц.сети "Вконтакте" - когда приходит новое сообщения. То есть в нижнем левом углу, пишет в рамке "Новое сообщения" и так постоянно. Какая то разная реклама идет в том оконце. Такое происходит не всегда, но чаще чем мне этого хотелось бы. Происходит на разных сайтах, форумах и в самой соц.сети "Вконтакте" и т.д. Происходит это в браузерах Opera и Google Chrome. Возможно и в других так же, но пользуюсь я только этими... До этого проверял полностью весь компьютер антивирусом Kaspersky Internet Security 2013. Были предупреждения, были вирусы, некоторые удалось вылечить, некоторые пришлось удалить. Так же чистил с помощью программы CCleaner файлы cookie, кэш и все что можно почистить в браузерах. Первое время ничего не беспокоило, но потом снова началось... И так же смотрел файл host ( C:\Windows\System32\drivers\etc ). Вроде все в порядке... Что бы сделать что бы наверняка убрать эту проблему? Чистка файлов cookie и кэш помогает но не надолго, проблема периодически возвращается. Спасибо. 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,072
	04.12.2013, 15:47	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 1

@akrossv 0 / 0 / 0 Регистрация: 04.12.2013 Сообщений: 9
	04.12.2013, 16:17 [ТС]	3
	_ViruLogs_forum_04.12.2013_14.01.zip 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,072
	04.12.2013, 16:39	4
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. 1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\system32\SSVICHOSST.exe',''); DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32'); DeleteFile('C:\Program Files\Mozilla Firefox\firefox.url','32'); DeleteFile('C:\Program Files\Safari\Safari.url','32'); DeleteFile('C:\Program Files\Opera\launcher.url','32'); DeleteFile('C:\Windows\system32\Tasks\At1.job','32'); DeleteFile('C:\Windows\system32\Tasks\At1','32'); DeleteFile('C:\Windows\system32\SSVICHOSST.exe'); DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. Компьютер перезагрузится. 2. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 3. Пересоздайте ярлыки запуска браузеров. 4. Повторите логи по правилам. 1

@akrossv 0 / 0 / 0 Регистрация: 04.12.2013 Сообщений: 9
	04.12.2013, 17:25 [ТС]	5
	Все сделал как описали: Архив "quarantine.zip" отправил на почту и все заполнил как указано. Сделал повторный лог по правилам. _ViruLogs_forum_04.12.2013_15.08.zip 0

@akrossv 0 / 0 / 0 Регистрация: 04.12.2013 Сообщений: 9
	04.12.2013, 18:19 [ТС]	7
	Да конечно, без проблем. _ViruLogs_forum_04.12.2013_16.01.zip И еще в конце уже лога, выбросило мне вот такое: (Диск отсутствует). Я нажал продолжить, и все, пошло дальше... 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,072
	04.12.2013, 18:29	8
	Первоначальная проблема сохраняется? 0

@akrossv 0 / 0 / 0 Регистрация: 04.12.2013 Сообщений: 9
	04.12.2013, 18:36 [ТС]	9
	Пока не наблюдаю. Полет нормальный. Если что повториться отпишусь здесь. Спасибо. 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,072
	04.12.2013, 18:51	10
	Хорошо. Закройте пока уязвимости системы: Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен -------------AdobeProduction---------------------- Adobe Flash Player 10 ActiveX v.10.0.12.36 Внимание! Скачать обновления Adobe Reader X (10.1.8) - Russian v.10.1.8 Внимание! Скачать обновления Добавлено через 9 минут + Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS 1

@akrossv 0 / 0 / 0 Регистрация: 04.12.2013 Сообщений: 9
	04.12.2013, 19:08 [ТС]	11
	Программы обновил, полный образ автозапуска сделал. ALEX_2013-12-04_16-59-03.7z 0

	04.12.2013, 23:11

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,072
	04.12.2013, 21:34	12
	Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена (порядковые номера строк не копируйте): Код ;uVS v3.81.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 breg delall %Sys32%\SSVICHOSST.EXE deltmp restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Подробнее читайте в этом руководстве. Повторите полный образ автозапуска uVS. 1

@akrossv 0 / 0 / 0 Регистрация: 04.12.2013 Сообщений: 9
	04.12.2013, 22:53 [ТС]	13
	Сделал. Полный образ автозапуска uVS: ALEX_2013-12-04_20-45-17.7z 0