Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.83/18: Рейтинг темы: голосов - 18, средняя оценка - 4.83
SenArs
0 / 0 / 0
Регистрация: 19.10.2013
Сообщений: 10
1

Всплывающее рекламное окно

19.10.2013, 17:15. Просмотров 3478. Ответов 19
Метки нет (Все метки)

При запуске windows открывается браузер chrome с ссылками на сайты http://www.vk-dohod.net/?9258ea048d7f883e5304bd41bb541bac http://www.best-pribyl.com/?66af3fc9...&siteid=684491
Просканировал утилитой AdwCleaner лог прикрепил. Подскажите, что удалить. Заранее спасибо.
0
Вложения
Тип файла: txt AdwCleaner[R1].txt (3.2 Кб, 16 просмотров)
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
19.10.2013, 17:15
Ответы с готовыми решениями:

Всплывающее рекламное окно в браузере
Здравствуйте,столкнулся с такой проблемой,с недавнего времени при запуске виндовс открывается...

Рекламное окно в браузере
Добрый день! Периодически в браузере открывается вкладка linkmyc.com, далее в ней же рекламные...

Выползает рекламное окно
Ап темку. Снова поймал похожую грязь, как в первом посте =.= Помогите пожайлуста)

Выползает рекламное окно
Вообщем суть такова: зашел сегодня на укозовский сайт и,возможно, подцепил с него заразу. Начало...

контакт просит вести номер телефона и вылезает рекламное окно в опере
Контакт просит вести номер телефона,даже подмена файла rpcss.dll не решило проблемму.

19
shestale
Вирусоборец
8603 / 4173 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
19.10.2013, 17:18 2
Нужны все логи по нашим правилам.
0
SenArs
0 / 0 / 0
Регистрация: 19.10.2013
Сообщений: 10
19.10.2013, 19:12  [ТС] 3
Добавил необходимые логи
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (14.8 Кб, 6 просмотров)
Тип файла: rar rsit.rar (13.8 Кб, 5 просмотров)
Тип файла: zip virusinfo_syscure.zip (15.2 Кб, 3 просмотров)
mike 1
Helper
626 / 207 / 13
Регистрация: 16.03.2013
Сообщений: 688
20.10.2013, 11:53 4
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 QuarantineFile('C:\Users\PPC\appdata\roaming\closer.exe','');
 QuarantineFile('C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys','');
 QuarantineFile('C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys','');
 QuarantineFile('C:\Program Files\LoviVkontakte\lovivkontakte.exe','');
 QuarantineFile('C:\Program Files\Yandex\Punto Switcher\punto.url','');
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.url','');
 QuarantineFileF('C:\Users\PPC\AppData\Roaming\smwdgt', '*', true, ' ', 0, 0);
 DeleteFile('C:\Users\PPC\appdata\roaming\closer.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','399b744834f5');
 DeleteFileMask('C:\Users\PPC\AppData\Roaming\smwdgt', '*', true, ' ');
 DeleteDirectory('C:\Users\PPC\AppData\Roaming\smwdgt');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
2. После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Удалите расширение SmilesExtensions version 2.1 во всех браузерах.

4. Программы удаленного доступа TeamViewer и Ammyy Admin сами себе устанавливали?

5. Подготовьте новый комплект логов согласно правилам раздела.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
0
20.10.2013, 11:53
SenArs
0 / 0 / 0
Регистрация: 19.10.2013
Сообщений: 10
20.10.2013, 21:48  [ТС] 5
1. Скрипт выполнил
2. Архив отправил
3. Расширение похожее нашел только в опере
4. Да программы удаленного доступа ставил сам
5. Логи приложил
6. И этот лог тоже
0
Вложения
Тип файла: rar rsit.rar (13.8 Кб, 6 просмотров)
Тип файла: zip virusinfo_syscheck.zip (14.3 Кб, 2 просмотров)
Тип файла: zip virusinfo_syscure.zip (14.1 Кб, 2 просмотров)
Тип файла: txt MBAM-log-2013-10-20 (21-34-48).txt (9.0 Кб, 5 просмотров)
mike 1
Helper
626 / 207 / 13
Регистрация: 16.03.2013
Сообщений: 688
21.10.2013, 00:01 6
Ваше? Вам знакомо?

D:\Sounds\всякавсяка\mahsun_kirmizigul_-_belalim_(zaycev.net).exe (Trojan.Banload) -> Действие не было предпринято.
D:\Sounds\всякавсяка\timati_i_grigoriy_leps_-_rekviem_po_lyubvi_(zaycev.net).exe (Trojan.Banload) -> Действие не было предпринято.
D:\Sounds\всякавсяка\vintazh_-_znak_vodoleya_(zaycev.net).exe (Trojan.Banload) -> Действие не было предпринято.
Отправьте пожалуйста еще раз карантин в пункте 2 с указанием ссылки на вашу тему.

+ Покажите свойства этих ярлыков:

Код
C:\Program Files\Yandex\Punto Switcher\punto.url
C:\Program Files\Internet Explorer\iexplore.url
0
SenArs
0 / 0 / 0
Регистрация: 19.10.2013
Сообщений: 10
21.10.2013, 19:59  [ТС] 7
Цитата Сообщение от mike 1 Посмотреть сообщение
Ваше? Вам знакомо?
Эти файлы удалил.

Архив карантин еще раз отправил.

Скрин одного url прикрепил, они в принципе одинаковые. Оба удалены.
0
Миниатюры
Всплывающее рекламное окно  
mike 1
Helper
626 / 207 / 13
Регистрация: 16.03.2013
Сообщений: 688
22.10.2013, 00:14 8
1. Удалите в MBAM (если осталось):

Код
Обнаруженные файлы:
C:\$Recycle.Bin\S-1-5-21-370708786-949043558-534064155-1000\$RQ798C1.exe (PUP.Optional.Installmonetizer) -> Действие не было предпринято.
D:\Sounds\всякавсяка\50_cent_-_just_a_lil_bit_(zaycev.net).exe (Trojan.Banload) -> Действие не было предпринято.
D:\Sounds\всякавсяка\mahsun_kirmizigul_-_belalim_(zaycev.net).exe (Trojan.Banload) -> Действие не было предпринято.
D:\Sounds\всякавсяка\timati_i_grigoriy_leps_-_rekviem_po_lyubvi_(zaycev.net).exe (Trojan.Banload) -> Действие не было предпринято.
D:\Sounds\всякавсяка\vintazh_-_znak_vodoleya_(zaycev.net).exe (Trojan.Banload) -> Действие не было предпринято.
2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
 DeleteFile('C:\Program Files\Yandex\Punto Switcher\punto.url','32');
 QuarantineFileF('C:\Program Files\smwdgt', '*', true, ' ', 0, 0);
 DeleteFileMask('C:\Program Files\smwdgt', '*', true, ' ');
 DeleteDirectory('C:\Program Files\smwdgt');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
3. После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код
O4 - Startup: Punto Switcher.lnk = C:\Program Files\Yandex\Punto Switcher\punto.url
5. Подготовьте новый комплект логов согласно правилам раздела.

6. Сделайте новый лог MBAM

7. Проверьте эти файлы на virustotal
Код
C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
1
SenArs
0 / 0 / 0
Регистрация: 19.10.2013
Сообщений: 10
23.10.2013, 23:52  [ТС] 9
Логи приложил
Результат проверки файла
https://www.virustotal.com/ru/file/d...is/1382553600/
При загрузке windows сайт больше не открывается
0
Вложения
Тип файла: zip quarantine.zip (564.1 Кб, 2 просмотров)
Тип файла: rar rsit.rar (13.5 Кб, 3 просмотров)
Тип файла: zip virusinfo_syscheck.zip (13.6 Кб, 2 просмотров)
Тип файла: zip virusinfo_syscure.zip (14.0 Кб, 3 просмотров)
Тип файла: txt MBAM-log-2013-10-23 (23-50-22).txt (8.6 Кб, 3 просмотров)
mike 1
Helper
626 / 207 / 13
Регистрация: 16.03.2013
Сообщений: 688
24.10.2013, 12:36 10
1. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код
D:\$RECYCLE.BIN\S-1-5-21-370708786-949043558-534064155-1000\$R5YOAHJ.exe (Trojan.Banload) -> Действие не было предпринято.
D:\$RECYCLE.BIN\S-1-5-21-370708786-949043558-534064155-1000\$RPE3T10.exe (Trojan.Banload) -> Действие не было предпринято.
D:\$RECYCLE.BIN\S-1-5-21-370708786-949043558-534064155-1000\$RUJTSUO.exe (Trojan.Banload) -> Действие не было предпринято.
Удаление кряков на ваше усмотрение.

2. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

3. Проверьте эти файлы на virustotal
Код
D:\Set Up\СТАНДАРТ\TuneUp\TU2008 Keymaker.exe
D:\Документы\guinsoo\Браузер\Project1.exe
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
0
SenArs
0 / 0 / 0
Регистрация: 19.10.2013
Сообщений: 10
24.10.2013, 22:19  [ТС] 11
https://www.virustotal.com/ru/file/8...is/1382628260/
https://www.virustotal.com/ru/file/5...is/1382629302/
0
Вложения
Тип файла: txt MBAM-log-2013-10-24 (22-18-01).txt (7.1 Кб, 8 просмотров)
mike 1
Helper
626 / 207 / 13
Регистрация: 16.03.2013
Сообщений: 688
24.10.2013, 22:39 12
1. Зайдите в панель управления => Выберите установка и удаление программ => Выберите и удалите SmilesExtensions version 2.1 (если есть).

2. Программой LoviVkontakte ранее пользовались? В реестре просто остались следы этой программы.

3. Сделайте новые логи RSIT.
0
SenArs
0 / 0 / 0
Регистрация: 19.10.2013
Сообщений: 10
25.10.2013, 20:43  [ТС] 13
1. Удалил
2. Да пользовались, как их удалить?
3. Прикрепил
0
Вложения
Тип файла: rar log.rar (6.4 Кб, 5 просмотров)
mike 1
Helper
626 / 207 / 13
Регистрация: 16.03.2013
Сообщений: 688
25.10.2013, 21:01 14
1. Нажмите на клавиатуре Win+R => Введите regedit и нажмите Enter => Откроется редактор реестра в нем найдите следующий ключ реестра HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg, затем удалите параметр LoviVkontakte.

2. Проверьте эти файлы на virustotal
Код
D:\Set Up\DVD & CD\daemon4112-lite.exe
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.


3. Сделайте новые логи RSIT
0
SenArs
0 / 0 / 0
Регистрация: 19.10.2013
Сообщений: 10
25.10.2013, 22:49  [ТС] 15
https://www.virustotal.com/ru/file/b...is/1382724212/
0
Вложения
Тип файла: rar rsit.rar (13.5 Кб, 3 просмотров)
mike 1
Helper
626 / 207 / 13
Регистрация: 16.03.2013
Сообщений: 688
25.10.2013, 23:11 16
Файл рекомендую удалить.

Что с проблемой?
0
SenArs
0 / 0 / 0
Регистрация: 19.10.2013
Сообщений: 10
25.10.2013, 23:20  [ТС] 17
Файл удалил
Проблема решилась два дня назад)
спасибо можно закрывать
0
mike 1
Helper
626 / 207 / 13
Регистрация: 16.03.2013
Сообщений: 688
25.10.2013, 23:30 18
1. Удалите MBAM через установка и удаление программ.

2.
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
0
SenArs
0 / 0 / 0
Регистрация: 19.10.2013
Сообщений: 10
26.10.2013, 14:20  [ТС] 19
Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 26.10.2013 14:19:35
Run directory: C:\Users\PPC\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 6.1
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 09.01.2012 11:37:00
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [74.1 Гб] Занято: [64.2 Гб] Свободно: [9.9 Гб]
Браузер по умолчанию: C:\Users\PPC\AppData\Local\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено
Дата установки обновлений: 2012-01-10 00:11:15
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Microsoft Security Essentials
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
Microsoft Security Essentials
-------------AntiVirusFirewallInstall-------------
Microsoft Security Essentials v.4.2.223.1
-------------OtherUtilities-----------------------
CCleaner v.4.06
-------------Java---------------------------------
Java 7 Update 11 v.7.0.110 Внимание! Скачать обновления
^Скачайте jre-7u45-windows-i586.exe^
Java Auto Updater v.2.1.9.0
-------------AppleProduction----------------------
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.9.900.117
Adobe Reader X (10.1.6) - Russian v.10.1.6 Внимание! Скачать обновления
-------------Browser------------------------------
Opera 12.16 v.12.16.1860
Google Chrome v.30.0.1599.101
-------------RunningProcess-----------------------
C:\Users\PPC\AppData\Local\Google\Chrome\Application\chrome.exe v.30.0.1599.101
-------------EndLog-------------------------------
0
mike 1
Helper
626 / 207 / 13
Регистрация: 16.03.2013
Сообщений: 688
26.10.2013, 17:39 20
Установите обновления по ссылкам. UAC рекомендуется включить.

Добавлено через 3 часа 16 минут
Рекомендации после удаления вредоносного ПО
0
26.10.2013, 17:39
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
26.10.2013, 17:39

Google Chrome самопроизвольно открывает рекламные вкладки во время работы и рекламное окно при запуске
Проблема возникла после установки пиратской игры. Проверял ноутбук Dr.Web CureIt, тот нашел много...

Всплывающее окно в ВК
Начал наблюдать активность вирусную, сижу в вк, кликаю куда-нибудь, открывается в другом окне...

всплывающее окно
Кто-нибудь!!! Помогите справиться со всплывающим окном. Вылезает на рабочем столе, не...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.