Порно баннеры во всех браузерах периодически, но часто Windows XP eng

@Evgeny11 · Регистрация: 22.01.2013

Студворк — интернет-сервис помощи студентам

Стали появляться порноБаннеры во всех 4-х моих браузерах, появляются часто, но не постоянно висят. Стоял AVAST, но, видимо не "устоял". Непонятно по каким признакам, то вылезет после запроса в Яндекс-поиске, то не вылезет порно баннер( а вернее он рекламный, большинство порно и часть игр и прочего). Либо просто вылезает после какого -либо действия (нажатия кнопки) на любом сайте или форуме. Чаще слева это столбик на всю высоту экрана (закрывается простым нажатием сверху на нём кнопки закрыть), реже сверху на полэкрана (закрывается также). До этого форума успел прогнать разными антивирями, avz и прочими делал полный скан. Находил пару-тройку зверей, удалял, но результата не принесло. Имена, к сожалению, не помню, просто ребёнок хотел мультики посмотреть, а мне надо было в перерыве быстро убрать эту "бяку" с экрана. Но так и не смог.
Хотел откатиться, но почему-то нет предыдущих точек восстановления (вернее они есть, но последняя максимум 3 недели назад и на неё нельзя откатиться, т.к. пишет, что нет изменений).
Скрин экрана сделал как это выглядит, всё пошлое закрыл чёрными квадратами. Если скрин это лишнее, то удалите его.
Всё сделал сегодня по инструкции на сайте, подозрительных программ обнаружено не было.
Помогите, плз, что делать?

@shestale · 22.01.2013, 07:45

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

1. Пофиксите в HJT эти строки

Code
1
2
3
R3 - URLSearchHook: (no name) -  - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BDD6A38-1174-47EF-9862-7FF3CE11346D}: NameServer = 37.157.255.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{5957ADF7-E60A-4D17-850D-61F03ABBAAFA}: NameServer = 5.199.140.179

Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов вашего провайдера или публичные

8.8.8.8 - основной
8.8.4.4 - альтернативный

2. Сделайте новый лог Rsit и прикрепите к сообщению.

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

@Evgeny11 · 23.01.2013, 02:13 **[ТС]**

Всё сделал как написано, логи ниже. Базы МВАМ обновились, пока прогу не закрывал и ничего не удалял, хотя она 32 объекта нашла. Жду рекомендаций.

@severnyj · 23.01.2013, 09:55

В MBAM удалите только следующее:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\_todel2.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\sb-scroll-back.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\a.htm (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\bander.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\dir.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\dot.gif (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\htmlayout.dll (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\logo.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\logo2.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\rubashka.css (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\sb-h-scroll-next.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\sb-h-scroll-prev.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\sb-scroll-base.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\sb-scroll-slider.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\sb-v-scroll-next.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\sb-v-scroll-prev.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\scroll.css (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\wfont.ttf (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\winzipvinfo (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\_todel.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\_todel3.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\winzipsoft\_todel4.png (Hoax.ArchSMS) -> Действие не было предпринято.

@Evgeny11 · 23.01.2013, 13:12 **[ТС]**

Удалил то, что рекомендовали. Далее МВАМ попросил ребута для полного удаления. Перезагрузился. Пока баннер не появлялся. Новых логов создано не было (вроде бы). Что делать далее? Мониторить когда появится баннер (а может уже и не появится), либо какие-то ещё логи с МВАМ скинуть?

@severnyj · 23.01.2013, 14:31

Проверимся на уязвимости:

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@Evgeny11 · 24.01.2013, 00:01 **[ТС]**

Загрузил, запустил, лог во вложении. Что скажите?

Security Check by glax24 version 0.1.6.52 rc1
WebSite: www.safezone.cc
DataLog 23.01.2013 23:58:35
Program directory: C:\Documents and Settings\Admin\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=2.4
Drive C:\ FS: NTFS Capacity: (122.1 Gb) Used: (37.6 Gb) Free: (84.5 Gb)
________________________________________ __________

WIN_XP(5.1) Build 2600 (x86) Lang: English(0409)
Installation Date OS: 27.05.2010 06:05:39
Service Pack 3
Internet Explorer 6.0.2900.5512 Warning! Download UpDate
-------------Windows------------------------------
Automatic download and scheduled installation
Date install updates: 2013-01-13 16:58:05
Automatic Updates (wuauserv) - The service has stopped
Security Center (wscsvc) - The service is running
-------------Antivirus_WMI------------------------
avast! Antivirus
Antivirus up to date!
-------------Firewall_WMI-------------------------
PC Tools Firewall Plus
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.5.0.677.0
PC Tools Firewall Plus 7.0 v.7.0
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 29 v.6.0.290 Warning! Download UpDate
Java 7 Update 10 v.7.0.100 Warning! Download UpDate
-------------AppleProduction----------------------
QuickTime v.7.72.80.56 Warning! Download UpDate
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - The service is running
-------------AdobeProduction----------------------
Adobe Flash Player 10 ActiveX v.10.1.53.64 Warning! Download UpDate
Adobe Flash Player 11 Plugin v.11.4.402.278 Warning! Download UpDate
Adobe Shockwave Player 11.5 v.11.5 Warning! Download UpDate
Adobe Reader 9.5.0 - Russian v.9.5.0 Warning! Download UpDate
-------------Browser------------------------------
Google Chrome v.24.0.1312.52
Mozilla Firefox 14.0.1 (x86 ru) v.14.0.1 Warning! Download UpDate
Opera 12.11 v.12.11.1661 Warning! Download UpDate
Yandex v.22.0.1104.222
-------------EmailClient--------------------------
The Bat! International Pack v5.0.36 v.5.0.36 Warning! Download UpDate
-------------RunningProcess-----------------------
C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YandexBrowser\Application\br owser.exe v.22.0.1104.222
-------------EndLog-------------------------------

@Katharsis · 24.01.2013, 00:38

Сообщение от Evgeny11

Что скажите?

Сообщение от severnyj

Скопируйте содержимое файла в свое следующее сообщение.

обновляйтесь, потом
Рекомендации после удаления вредоносного ПО

@Evgeny11 · 24.01.2013, 02:15 **[ТС]**

Баннеры больше не появляются, большое всем СПАСИБО! Обновлю всё и проделаю дальше по рекомендациям.

P.S. Наверное, оффтоп, но всё же. Приобрёл после этого излечения версию PRO MBAM, понравилась програмулина больше всех других. Никто не знает сколько действительна лицензия: 1 год или бессрочная? И как она привязывается к одному компу: если он "гавкнется" вместе с осью - можно ли эту лицензию на другом компе юзать будет?

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .

@Evgeny11 0 / 0 / 0 Регистрация: 22.01.2013 Сообщений: 5
	23.01.2013, 13:12 [ТС]
	Удалил то, что рекомендовали. Далее МВАМ попросил ребута для полного удаления. Перезагрузился. Пока баннер не появлялся. Новых логов создано не было (вроде бы). Что делать далее? Мониторить когда появится баннер (а может уже и не появится), либо какие-то ещё логи с МВАМ скинуть? 0

@severnyj 6362 / 2867 / 565 Регистрация: 04.04.2012 Сообщений: 10,407
	23.01.2013, 14:31
	Проверимся на уязвимости: Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 2

@Evgeny11 0 / 0 / 0 Регистрация: 22.01.2013 Сообщений: 5
	24.01.2013, 02:15 [ТС]
	Баннеры больше не появляются, большое всем СПАСИБО! Обновлю всё и проделаю дальше по рекомендациям. P.S. Наверное, оффтоп, но всё же. Приобрёл после этого излечения версию PRO MBAM, понравилась програмулина больше всех других. Никто не знает сколько действительна лицензия: 1 год или бессрочная? И как она привязывается к одному компу: если он "гавкнется" вместе с осью - можно ли эту лицензию на другом компе юзать будет? 0