Перенаправляет на левые сайты, подменяет рекламу на сайтах

@crusher99 · Регистрация: 09.01.2016

Author24 — интернет-сервис помощи студентам

Временами перенаправляет на левые сайты при переходе по какой-либо ссылке или само по себе. Также перед просмотром видео появляется левая реклама, которую, чтобы закрыть, нужно подождать пять секунд. На некоторых сайтах появляется левая реклама вместо той, которая должна быть. При сканировании AdwCleaner'ом ничего обнаружить не удалось.

@shestale · 10.01.2016, 08:11

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@crusher99 · 10.01.2016, 16:18 **[ТС]**

Файл вложил.

@shestale · 10.01.2016, 16:36

Как загрузить вложение на форум

@crusher99 · 10.01.2016, 16:42 **[ТС]**

quarantine.zip

@shestale · 10.01.2016, 17:37

Сообщение от crusher99

quarantine.zip

Не нужно логи переименовывать. Выкладывайте как есть. Тем более это не карантин, а необходимые логи, которые чуть-чуть не удалил, т.к. карантин выкладывать на форум запрещено.
+
Внимание! Рекомендации написаны специально для crusher99. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('C:\Users\Ruslan\AppData\Local\PPTAssist', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFileF('C:\Users\Ruslan\AppData\Roaming\istartpageing', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFile('C:\Users\Ruslan\AppData\Local\PPTAssist\notify.exe', '');
 QuarantineFile('C:\Users\Ruslan\AppData\Local\PPTAssist\assistupdate.exe', '');
 QuarantineFile('C:\Users\Ruslan\AppData\Roaming\istartpageing\UninstallManager.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "PPTAssistantNotifyTask_Ruslan" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PPTAssistantUpdateTask_Ruslan" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{0EEE0BAF-1C86-4612-AFAD-1D719D807946}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Ruslan\AppData\Local\PPTAssist\notify.exe', '32');
 DeleteFile('C:\Users\Ruslan\AppData\Local\PPTAssist\assistupdate.exe', '32');
 DeleteFile('C:\Users\Ruslan\AppData\Roaming\istartpageing\UninstallManager.exe', '32');
 DeleteFileMask('C:\Users\Ruslan\AppData\Local\PPTAssist', '*', true);
 DeleteFileMask('C:\Users\Ruslan\AppData\Roaming\istartpageing', '*', true);
 DeleteDirectory('C:\Users\Ruslan\AppData\Local\PPTAssist');
 DeleteDirectory('C:\Users\Ruslan\AppData\Roaming\istartpageing');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:
Windows Batch file
1 2 3
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщению ЗАПРЕЩЕНО!!!
Подготовьте лог AdwCleaner.

@crusher99 · 10.01.2016, 18:15 **[ТС]**

AdwCleaner[S14].txt

@crusher99 · 10.01.2016, 18:44 **[ТС]**

Файлы карантина отправил.

@shestale · 10.01.2016, 19:08

Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
+
Подготовьте логи Farbar Recovery Scan Tool

@crusher99 · 10.01.2016, 19:27 **[ТС]**

Log.rar
В adwcleaner все найденные объекты удалил.

@shestale · 10.01.2016, 19:44

Сообщение от crusher99

В adwcleaner все файлы удалил.

Лог нужно показать.
+
Выполните скрипт в Farbar Recovery Scan Tool

Windows Batch file

start
CreateRestorePoint:
Task: {E25A0952-C8A8-45CE-89E8-C1EEA102822B} - System32\Tasks\Microsoft\Windows\RVLKL\RVLKL => C:\ProgramData\rvlkl\rvlkl.exe <==== ATTENTION
AlternateDataStreams: C:\ProgramData:NT
AlternateDataStreams: C:\ProgramData:NT2
AlternateDataStreams: C:\Users\All Users:NT
AlternateDataStreams: C:\Users\All Users:NT2
AlternateDataStreams: C:\Users\Все пользователи:NT
AlternateDataStreams: C:\Users\Все пользователи:NT2
AlternateDataStreams: C:\ProgramData\Application Data:NT
AlternateDataStreams: C:\ProgramData\Application Data:NT2
AlternateDataStreams: C:\Users\Ruslan\Application Data:NT
AlternateDataStreams: C:\Users\Ruslan\Application Data:NT2
AlternateDataStreams: C:\Users\Ruslan\Local Settings:wa
AlternateDataStreams: C:\Users\Ruslan\AppData\Local:wa
AlternateDataStreams: C:\Users\Ruslan\AppData\Roaming:NT
AlternateDataStreams: C:\Users\Ruslan\AppData\Roaming:NT2
AlternateDataStreams: C:\Users\Ruslan\AppData\Local\Application Data:wa
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
CHR HKU\S-1-5-21-1623878138-2735485283-330192929-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1623878138-2735485283-330192929-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1623878138-2735485283-330192929-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1623878138-2735485283-330192929-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Не хватает на Iphone?) - C:\Users\Ruslan\AppData\Roaming\Opera Software\Opera Stable\Extensions\lbmokakipianlpbhcacgheileggjpmee [2015-12-31]
EmptyTemp:
Reboot:
end

+
Почистите кэш и куки в браузерах.

Проблема решена?

Добавлено через 3 минуты
+
Смените свои пароли от сервисов в интернете, могли уйти, т.к. в логах засветился KeyLogger.

@crusher99 · 10.01.2016, 20:19 **[ТС]**

AdwCleaner[S15].txt
Лог с adwcleaner.
Проблема решена. Большое спасибо за уделенное время!

@shestale · 11.01.2016, 07:36

Сообщение от shestale

Выполните скрипт в Farbar Recovery Scan Tool

Где лог после удаления?
+
Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
+
Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@crusher99 0 / 0 / 0 Регистрация: 09.01.2016 Сообщений: 10
		1
	Перенаправляет на левые сайты, подменяет рекламу на сайтах 10.01.2016, 00:40. Показов 1000. Ответов 12 Метки keylogger (Все метки) Временами перенаправляет на левые сайты при переходе по какой-либо ссылке или само по себе. Также перед просмотром видео появляется левая реклама, которую, чтобы закрыть, нужно подождать пять секунд. На некоторых сайтах появляется левая реклама вместо той, которая должна быть. При сканировании AdwCleaner'ом ничего обнаружить не удалось. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	10.01.2016, 08:11	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@crusher99 0 / 0 / 0 Регистрация: 09.01.2016 Сообщений: 10
	10.01.2016, 16:18 [ТС]	3
	Файл вложил. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	10.01.2016, 16:36	4
	Как загрузить вложение на форум 0

@crusher99 0 / 0 / 0 Регистрация: 09.01.2016 Сообщений: 10
	10.01.2016, 16:42 [ТС]	5
	quarantine.zip 0

@crusher99 0 / 0 / 0 Регистрация: 09.01.2016 Сообщений: 10
	10.01.2016, 18:15 [ТС]	7
	AdwCleaner[S14].txt 0

@crusher99 0 / 0 / 0 Регистрация: 09.01.2016 Сообщений: 10
	10.01.2016, 18:44 [ТС]	8
	Файлы карантина отправил. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	10.01.2016, 19:08	9
	Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. + Подготовьте логи Farbar Recovery Scan Tool 0

@crusher99 0 / 0 / 0 Регистрация: 09.01.2016 Сообщений: 10
	10.01.2016, 19:27 [ТС]	10
	Log.rar В adwcleaner все найденные объекты удалил. 0

@crusher99 0 / 0 / 0 Регистрация: 09.01.2016 Сообщений: 10
	10.01.2016, 20:19 [ТС]	12
	AdwCleaner[S15].txt Лог с adwcleaner. Проблема решена. Большое спасибо за уделенное время! 0

	11.01.2016, 07:36

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	11.01.2016, 07:36	13
	Сообщение от shestale Выполните скрипт в Farbar Recovery Scan Tool Где лог после удаления? + Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. + Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам. 0