Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 5.00/3: Рейтинг темы: голосов - 3, средняя оценка - 5.00
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
1

Вирус автоматического открытия страниц - newscommer

07.08.2018, 14:11. Просмотров 582. Ответов 19
Метки нет (Все метки)

Здравствуйте. Вчера на работе у 4 ПК был замечен вирус newccommer. Его суть это каждый час самостоятельно запускаться с сайтом [newscommer.com] и пытаться запустить приложение app.exe с этого сайта. Хорошо, что на ПК стоит НОД32. Который блокирует эти попытки. После того, как нод32 заблокировал попытку открыть сайт - вылетает процесс explorer.exe, соответственно весь рабочий стол с иконками исчезает. Приходиться в ручную его запускать. Но через час это повторяется.
Прочитал много советов, все перепробовал, но ничего не помогает: в планировщике ничего нет, переустанавливал браузеры, чистил кэш и куки, смотрел св-ва ярлыков, смотрел реестр, разумеется просканировал систему curient, adwcleaner и прочими прогами. Ничего не нашли. Незнаю что делать, очень расчитываю на вашу помощь.
0
Миниатюры
Вирус автоматического открытия страниц - newscommer  
Вложения
Тип файла: zip CollectionLog-2018.08.07-14.06.zip (53.4 Кб, 2 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
07.08.2018, 14:11
Ответы с готовыми решениями:

Вирус открытия различных страниц и всплывающих окон в Firefox
Здравствуйте. Подцепила в интернете вирус. Теперь firefox при запуске открывает...

Добить вирус открытия рекламных страниц хрома и перенаправления поиска на go.mail
Господа, здравствуйте. Поймал вирус(ы), когда устанавливал драйвера, скачанные...

Австостарт нежелательных веб-страниц. Невозможность открытия реестра и ряда программ
Добрый день! Суть проблемы: При старте Windows 7 автоматически...

Вирус, после открытия файла .scr
Здравствуйте! Сегодня по почте пришло письмо с вложением в формате .scr. после...

Всплывают окна, новые вкладки в брузере с рекламой при попытке перехода по ссылкам или открытия след.страниц
Практически при любых действиях в браузере могут возникнуть доп. вкладки или...

19
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
07.08.2018, 14:20  [ТС] 2
Прикрепил фото с событий НОД32. На нем видно, что каждый час запускается explorer c попыткой зайти на зараженный сайт. Заранее говорю, что пользовался функцией очистки explorera и проводника через avz. Ничего не помогло.
0
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
07.08.2018, 17:38 3
Скачайте Farbar Recovery Scan Tool https://i.imgur.com/NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
https://i.imgur.com/3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
0
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
08.08.2018, 09:21  [ТС] 4
Доброе утро. Прикрепил отчеты, как вы просили. Жду дальнейших указаний
0
Вложения
Тип файла: rar FRST.rar (16.6 Кб, 1 просмотров)
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
08.08.2018, 09:30  [ТС] 5
На всякий случай запустил с правами админа
0
Вложения
Тип файла: rar FRST-adm.rar (16.8 Кб, 3 просмотров)
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
08.08.2018, 18:35 6
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
HKLM\...\RunOnce: [*WerKernelReporting] => C:\Windows\SYSTEM32\WerFault.exe [415232 2009-07-14] (Microsoft Corporation)
HKU\S-1-5-21-2481624703-2561869919-3587116390-1131\...\Policies\Explorer: [] 
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [125]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [125]
Task: {014787E5-98C6-4134-89B4-85CEFDE277F4} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2018-08-07] (Google Inc.)
Task: {CA91C129-DF39-47CE-8B5D-8ADBF044121D} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2018-08-07] (Google Inc.)
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
0
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
09.08.2018, 09:11  [ТС] 7
Добрый день. Выполнил ваш скрипт. Прикрепляю лог.
0
Вложения
Тип файла: txt Fixlog.txt (2.5 Кб, 0 просмотров)
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
09.08.2018, 12:34  [ТС] 8
Так же прошу ответить, можно ли в ручную на других ПК удалить те файлы, которые вы указали в скрипте? Так как вирус одинаковый. Или лучше прислать вам логи FRST , чтоб вы написали для каждого ПК свой fixlist?

Добавлено через 1 час 18 минут
Так же сообщаю, что к сожалению, все равно вирус выскакивает (((

Добавлено через 1 час 54 минуты
Если это поможет, то вирус появился 06.08.2018. Хотя нет никаких записей в списке установленных программ и в планировщике пусто. Как он сам себя запускает каждый час?
0
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
09.08.2018, 13:41 9
Доступ в Интернет через роутер со всех этих компьютеров?
0
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
09.08.2018, 15:16  [ТС] 10
Пк подключены к маршрутизатору. 3 машине в домене, одна пока еще нет.

Добавлено через 1 час 14 минут
Можете подсказать, где еще можно посмотреть или почистить файлы? Или каким способ вычислить расположение вируса?
0
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
09.08.2018, 15:30 11
Сделайте аппаратный сброс настроек роутера, введите правильные настройки.
Смените пароль к настройкам роутера на более сложный.
Перезагрузите компьютер и проверьте проблему.

Если не поможет, проверьте, проявляется ли проблема при загрузке в безопасном режиме.
0
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
09.08.2018, 15:43  [ТС] 12
Проблема скорее всего локальная, так как к маршрутизатору подключено еще машин 20 и у них вируса нет. Так как вирус появляется каждый час нужно либо час работать в безопасном режиме с подкдючением сетевой карты (чтоб был инет) или пытаться предугадать, в какое приблизительно время он появиться и в это время зайти в безопасном режиме.
Если допустить, что проблема локальная, то что мне даст запуск в безопасном режиме? Если он появиться или не появиться, какие будут дальнейшие действи? И что вы можете сказать по логам? Все ли с ними впорядке?
0
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
09.08.2018, 17:33 13
Проблем по логам нет.

Создавайте темы с логами по трем другим проблемным машинам
0
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
10.08.2018, 09:03  [ТС] 14
Раз пока причина сбоя не ясно можете помочь устранить его последствия? Как сделать автозапуск процесса explorer.exe при его закрытии. Чтоб хотябы пользователям не приходилось на кнопки нажимать для ручного запуска?
0
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
10.08.2018, 09:48  [ТС] 15
Просмотрел журнал событий и увидел кое что странное. Каждый час происходит событие с кодом 3036 от источника Microsoft-Windows-Search. И я подразумеваю, что оно связано с вирусом. Что можете посоветовать? Если это так, то как можно провериль и вылесить?
0
Вложения
Тип файла: txt Странные события.txt (4.4 Кб, 2 просмотров)
Тип файла: txt События.txt (796 байт, 3 просмотров)
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
10.08.2018, 10:27  [ТС] 16
Записал время возникновения сбоя и посмотрел журнал событий. Обнаружил тоже не понятное событие. Что можете по нему сказать?
0
Вложения
Тип файла: txt wpi.txt (751 байт, 1 просмотров)
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
10.08.2018, 13:35  [ТС] 17
Заразился еще один ПК. Самое интересное, что ошибка появляется одновременно на всех пк, прям минута в минуту. После уведомления нод32. Можете, что нибудь посоветовать, как с этим бороться?
0
Миниатюры
Вирус автоматического открытия страниц - newscommer  
Sandor
Вирусоборец
12990 / 11244 / 1724
Регистрация: 08.10.2012
Сообщений: 45,430
10.08.2018, 15:07 18
Цитата Сообщение от Брод9га Посмотреть сообщение
Заразился еще один ПК
Создайте для него отдельную тему, соберите и прикрепите там CollectionLog.
0
Брод9га
0 / 0 / 0
Регистрация: 25.08.2015
Сообщений: 23
10.08.2018, 16:22  [ТС] 19
Создал новую тему по этому вирусу
0
SQx
Вирусоборец
Вирусоборец
105 / 104 / 22
Регистрация: 12.01.2017
Сообщений: 432
10.08.2018, 17:41 20
Касаемо событий которые логируются на Вашем ПК, относятся к системным проблемам:
Предупреждение 09.08.2018 14:13:43 Microsoft-Windows-Search 3036 Средство сбора данных "Доступ к источнику содержимого <iehistory://{S-1-5-21-2481624703-2561869919-3587116390-500}/> невозможен.
связанная с включеним индексирования Offline Files.

Пробуйте убрать галочку с Offline Files в следующей настройке:
Control Panel -> Indexing Options -> Modify
Далее выполнить "Rebuild".

Control Panel -> Indexing Options -> Advanced -> click "Rebuild"
0
10.08.2018, 17:41
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
10.08.2018, 17:41

Вирус подменяет текст страниц
Сначала была история с всплывающими банерами и появляющейся страницей &quot;Нет...

Вирус блокирующий открытие страниц браузерами
Добрый вечер! Весь день мучаюсь с, вероятно, вирусом. На ноутбуке ни один из...

Вирус блокирует открытие страниц браузерами и рекламные баннеры на странице
Добрый день! Мучаюсь уже двое суток. Чистил: Dr.Web CureIt, Kaspersky...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru