Рекламные баннеры

@fortunator · Регистрация: 16.03.2013

Студворк — интернет-сервис помощи студентам

Добрый день!

Проблема как и у многих здесь: в один прекрасный день на обоих компах в домашней сети во всех браузерах стали появляться разные баннеры или просто затемнения со ссылками на сайты известного характера.

Причём тот комп, с которого сделаны логи, глючит по-страшному: часто зависают браузеры и приложения.

Помогите, пожалуйста!

@shestale · 16.03.2013, 20:26

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

Пофиксите в HJT эти строки

Code
1
2
3
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru

Если это не ваша настройка тогда и эту строку пофиксите

Code
1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = univers:8080

2. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\DOCUME~1\user\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\WINDOWS\system32\Fjgavwp.exe','');
 QuarantineFile('C:\WINDOWS\system32\55aa3f54.exe','');
 DeleteFile('C:\WINDOWS\system32\55aa3f54.exe');
 DeleteFile('C:\WINDOWS\system32\Fjgavwp.exe');
 DeleteFile('C:\DOCUME~1\user\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE');
 DeleteFile('C:\WINDOWS\Tasks\At1.job');
 DeleteFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE');
 DeleteFile('C:\WINDOWS\Tasks\At2.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:

Code
1
2
3
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Сделайте новые логи AVZ и Rsit и прикрепите к сообщению.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

7.

AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Поиск не закрывайте

@fortunator · 17.03.2013, 16:47 **[ТС]**

Все пункты выполнил, все логи прилагаю.

@shestale · 17.03.2013, 17:03

А карантин отправляли?
Повторите через почту.

@fortunator · 17.03.2013, 17:54 **[ТС]**

Продублировано через почту.

@shestale · 17.03.2013, 18:01

1. Удалите все найденное в AVZ ключи с Webalta: ПКМ по списку - выбрать все - нажать "удалить отмеченное".

2. Если МВАМ уже закрыли, тогда просканируйте заново и удалите

HKCR\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91} (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp.1 (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Explorer\Browser Helper Objects\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Services\p ort135sik (Trojan.Agent) -> Действие не было предпринято.

HKLM\SOFTWARE\Microsoft|option_1 (Rootkit.Agent) -> Параметры: Њљђ…ћ‰ЌЊЊЊСњђ’ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_2 (Rootkit.Agent) -> Параметры: €—†›ћ››†Сќ–… -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_3 (Rootkit.Agent) -> Параметры: ћЌњ—–љ“–ЊћСњђ’РІ‰*•Зњ‡љЄ–*”Љ®ЇСЏ—Џ -> Действие не было предпринято.

C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> Действие не было предпринято.

C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\qmopt.dll (Malware.Trace) -> Действие не было предпринято.

3. Пофиксите в HJT эти строки

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

4. Почистите браузеры с помощью AVZ
Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы, отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

Что с проблемой?

@fortunator · 17.03.2013, 18:33 **[ТС]**

Сделал все. Компьютер стал загружаться значительно быстрее, чем раньше.
Но проблема с баннерами, к сожалению, осталась.
В эсксплорере баннеры вроде пропали, однако браузер работает некорректно, а Antimailware сигнализирует о попытках доступа к вредоносному вебсайту. Впрочем, эскплорером все равно не пользуюсь.

А вот в опере или мозилле баннеры по-прежнему появляются, если отключить Noscript

@Sandor · 17.03.2013, 18:40

Сообщение от shestale

4. Почистите браузеры с помощью AVZ
Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы, отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

Вы это проделали?

@shestale · 17.03.2013, 18:46

+
Через админку роутера пропишите адреса DNS-серверов вашего провайдера или публичные:

8.8.8.8 - основной
8.8.4.4 - альтернативный

Очистите кэш DNS: в командной строке, запущенной от администратора
("Пуск"=>Введите cmd => По найденному объекту кликните правой кнопкой мыши и выберите пункт Запустить с правами администратора"), в открывшейся командной строке выполните:

ipconfig /flushdns

Перегрузитесь и проверьте.

@fortunator · 17.03.2013, 18:52 **[ТС]**

Сообщение от Sando_r

Вы это проделали?

Да. Очистки кэша Java и папки CrashReports мозиллы не требуется?

@shestale · 17.03.2013, 19:12

Роутер проверьте

@fortunator · 17.03.2013, 19:18 **[ТС]**

Наверное, тогда мне надо было начать лечение с компа, к которому подключен роутер. Логи прилагаю.

Ещё что касается роутера. Через какое-то время доступ к его интерфейсу почему-то пропадает, но доступ в сеть остаётся без переустановки роутера. Сейчас как раз не было доступа к роутеру, переустановил. Логин/пароль оставались всегда по умолчанию. Может, и в этом было дело?

Комментарий модератора

Логи и новый комп - в новую тему

@shestale · 17.03.2013, 19:23

fortunator, а этот комп разве к роутеру не подключен, вот ваше сообщение

Сообщение от fortunator

на обоих компах в домашней сети во всех браузерах стали появляться разные баннеры или просто затемнения со ссылками на сайты известного характера.

Давайте здесь сперва закончим, другой комп - если есть необходимость, то создайте новую тему!
Что с проблемой, баннеры исчезли?

@fortunator · 17.03.2013, 19:41 **[ТС]**

[QUOTE=shestale;4269218]fortunator, а этот комп разве к роутеру не подключен, вот ваше сообщение
Подключен через Wi-Fi адаптер.

Вроде баннеры пропали! Спасибо большое за помощь! Только ещё комп остался, создать по нему отдельную тему?

@shestale · 17.03.2013, 19:46

Для профилактики повторных заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.
Рекомендации после удаления вредоносного ПО

Сообщение от fortunator

Только ещё комп остался, создать по нему отдельную тему?

Проверьте сперва, если будет необходимость, тогда создавайте.

@fortunator · 17.03.2013, 19:53 **[ТС]**

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 17.03.2013 19:51:08
Program directory: C:\Documents and Settings\user\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=3.5
Drive C:\ FS: NTFS Capacity: (111.8 Gb) Used: (63.5 Gb) Free: (48.3 Gb)
________________________________________ __________

WIN_XP(5.1) Build 2600 (x86) Lang: English(0409)
Installation Date OS: 15.12.2004 10:39:28
Service Pack 2 Warning! Download UpDate
Internet Explorer 6.0.2900.2180 Warning! Download UpDate
-------------Windows------------------------------
Automatic download and scheduled installation
Date install updates: 2013-03-13 09:28:20
Автоматическое обновление (wuauserv) - The service is running
Security Center (wscsvc) - The service is running
-------------Antivirus_WMI------------------------
ESET NOD32 Antivirus 4.2
Antivirus up to date!
-------------Firewall_WMI-------------------------
-------------OtherUtilities-----------------------
CCleaner v.3.26
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java 2 Runtime Environment, SE v1.4.2_02 v.1.4.2_02
-------------AppleProduction----------------------
QuickTime
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - The service is running
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.6.602.180 [+]
Adobe Flash Player 11 Plugin v.11.6.602.180 [+]
Adobe Reader XI (11.0.01) v.11.0.01
-------------Browser------------------------------
Mozilla Firefox 19.0.2 (x86 ru) v.19.0.2 [+]
Opera 12.14 v.12.14.1738
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.19.0.2.4814
-------------EndLog-------------------------------

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	17.03.2013, 17:03
	А карантин отправляли? Повторите через почту. 0

@fortunator 0 / 0 / 0 Регистрация: 16.03.2013 Сообщений: 28
	17.03.2013, 17:54 [ТС]
	Продублировано через почту. 0

@fortunator 0 / 0 / 0 Регистрация: 16.03.2013 Сообщений: 28
	17.03.2013, 18:33 [ТС]
	Сделал все. Компьютер стал загружаться значительно быстрее, чем раньше. Но проблема с баннерами, к сожалению, осталась. В эсксплорере баннеры вроде пропали, однако браузер работает некорректно, а Antimailware сигнализирует о попытках доступа к вредоносному вебсайту. Впрочем, эскплорером все равно не пользуюсь. А вот в опере или мозилле баннеры по-прежнему появляются, если отключить Noscript 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	17.03.2013, 19:12
	Роутер проверьте 0

@fortunator 0 / 0 / 0 Регистрация: 16.03.2013 Сообщений: 28
	17.03.2013, 19:41 [ТС]
	[QUOTE=shestale;4269218]fortunator, а этот комп разве к роутеру не подключен, вот ваше сообщение Подключен через Wi-Fi адаптер. Вроде баннеры пропали! Спасибо большое за помощь! Только ещё комп остался, создать по нему отдельную тему? 0

@fortunator 0 / 0 / 0 Регистрация: 16.03.2013 Сообщений: 28
	17.03.2013, 19:53 [ТС]
	Security Check by glax24 version 0.1.6.54 rc1 WebSite: www.safezone.cc DataLog 17.03.2013 19:51:08 Program directory: C:\Documents and Settings\user\Local Settings\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionInet=3.5 Drive C:\ FS: NTFS Capacity: (111.8 Gb) Used: (63.5 Gb) Free: (48.3 Gb) ________________________________________ __________ WIN_XP(5.1) Build 2600 (x86) Lang: English(0409) Installation Date OS: 15.12.2004 10:39:28 Service Pack 2 Warning! Download UpDate Internet Explorer 6.0.2900.2180 Warning! Download UpDate -------------Windows------------------------------ Automatic download and scheduled installation Date install updates: 2013-03-13 09:28:20 Автоматическое обновление (wuauserv) - The service is running Security Center (wscsvc) - The service is running -------------Antivirus_WMI------------------------ ESET NOD32 Antivirus 4.2 Antivirus up to date! -------------Firewall_WMI------------------------- -------------OtherUtilities----------------------- CCleaner v.3.26 Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100 -------------Java--------------------------------- Java 2 Runtime Environment, SE v1.4.2_02 v.1.4.2_02 -------------AppleProduction---------------------- QuickTime Bonjour v.3.0.0.10 Служба Bonjour (Bonjour Service) - The service is running -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX v.11.6.602.180 [+] Adobe Flash Player 11 Plugin v.11.6.602.180 [+] Adobe Reader XI (11.0.01) v.11.0.01 -------------Browser------------------------------ Mozilla Firefox 19.0.2 (x86 ru) v.19.0.2 [+] Opera 12.14 v.12.14.1738 -------------RunningProcess----------------------- C:\Program Files\Mozilla Firefox\firefox.exe v.19.0.2.4814 -------------EndLog------------------------------- 0