Схватил adware и кликера

@god_says_hello · Регистрация: 14.10.2013

Студворк — интернет-сервис помощи студентам

Доброго времени суток.
То ли 12.10, толи 13.10 схватил adware и кликер-перехватчик. При открытии любого браузера и почти любого сайта (включая этот форум, но исключая, например, гугл) выскакивают баннеры, маскирующиеся под "быстрые сообщения вк" с характерным звуком, аналогичные баннеры-"сообщения аськи", и круг-кликер на весь экран, который редиректит на порносайт. Даже если круга-кликера нет, то всё равно при первом клике на странице идёт редирект.
В файле hosts чисто. В application data, temp и прочих стандартных местах для троянов вроде тоже. Подозрительных лишних процессов не запускается. В autoruns никакой гадости не прописано.
Чистка программами Ссleaner/comodo sysclean/adwCleaner и проверки каспера/dr.web cureIt проблему не решили. Логи прилагаю.

@shestale · 14.10.2013, 08:38

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".

Code
1
2
3
4
5
6
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - Startup: AutorunsDisabled
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O20 - Winlogon Notify: AutorunsDisabled - Invalid registry found

2. Проверьте на Virus Total этот файл, для этого пройдите по ссылке, нажмите в окно для ввода файла, загрузите файл и нажмите Проверить!, ссылку на результат запостите здесь.

C:\WINDOWS\tasks\VKSaverUpdate.job

3. Создайте файл hosts, т.к. сейчас его в системе нет.
4.

Внимание !!! База поcледний раз обновлялась 12.07.2013 13:39:36 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.41.

Пожалуйста обновите базы и сделайте новые логи.

@god_says_hello · 14.10.2013, 11:22 **[ТС]**

1. сделал
2. Эммм... это, собственно, не файл, а задание на обновление, "загрузить его" туда никак нельзя. С помощью vksaver скачивал из вк медию, но явно не 12.10-13.10. Поэтому я загрузил на вирустотал vksaver.exe, результат:
https://www.virustotal.com/ru/... /analysis/
Заодно запустил поиск по системе и удалил всё найденное, связанное с vksaver (скриншот найденного прилагаю)
3. windows/system32/drivers/etc/hosts - есть, открываю блокнотом, там всё в нормальном состоянии О_о
4. обновил, логи прилагаю

@shestale · 14.10.2013, 11:30

Сообщение от god_says_hello

"загрузить его" туда никак нельзя

да, по ошибке не тот файл указал)))

Сообщение от god_says_hello

windows/system32/drivers/etc/hosts - есть, открываю блокнотом, там всё в нормальном состоянии О_о

давайте так еще проверим:
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

@god_says_hello · 14.10.2013, 21:29 **[ТС]**

проверился, вот лог

@Sandor · 15.10.2013, 00:09

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:

Files Detected:
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> No action taken.

Отчет после удаления покажите.

@god_says_hello · 15.10.2013, 04:52 **[ТС]**

нет, не закрывал, отчёт после удаления прикрепляю (от 03-51-31).
Компьютер перезагрузил после этого, проблема осталась. Файла hosts на этот раз на месте не оказалось, создал вручную. Сделал ещё один скан, теперь только диска С, отчёт прикрепляю (от 04-44-34)

@shestale · 15.10.2013, 05:33

Подготовьте лог AdwCleaner.

@god_says_hello · 15.10.2013, 05:44 **[ТС]**

вот

@shestale · 15.10.2013, 05:55

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

a) Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
b) Запустите combofix.exe, когда процесс завершится запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

@god_says_hello · 15.10.2013, 06:28 **[ТС]**

cделал

@shestale · 15.10.2013, 06:52

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С:\.

Code
1
2
3
4
KillAll::
DDS::
TCP: DhcpNameServer = 93.171.216.29 192.168.1.1
Reboot:

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Добавлено через 5 минут
Вернусь через часик.

@god_says_hello · 15.10.2013, 07:06 **[ТС]**

выполнено.
Кстати, в лайвжурнале всплывающие окна и кликер теперь не выскакивают.

@shestale · 15.10.2013, 08:07

Зайдите в настройки вашего сетевого подключения и из настроек уберите

TCP: DhcpNameServer = 93.171.216.29

Деинсталлируйте ComboFix:
Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

@god_says_hello · 15.10.2013, 11:22 **[ТС]**

Выполнено. Проблема решена. Большущее спасибо вам за помощь, всё очень доходчиво и профессионально)

ЗЫ что интересно, когда пытался сам справиться и рыскал в реестре, я уже натыкался в hklm/system/ccs/services/tcpip на этот айпи. Почесал репу, подумал "а что он здесь делает, явно не должен быть" и удалил его. Но ничего не изменилось.

@Sandor · 15.10.2013, 11:29

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

@god_says_hello · 16.10.2013, 09:32 **[ТС]**

переход по ссылке даже после регистрации там выдаёт ошибку. Скриншот прилагаю.

но я в принципе и так осведомлён, что и как у меня в системе с обновлениями. Большинство инструкций во второй ссылке выполняю регулярно.

@Sandor · 16.10.2013, 10:30

SecurityCheck by glax24 попробуйте отсюда. Форум переехал на другой движок и пока еще не все на местах.

Новые блоги и статьи Все статьи Все блоги /
Раскрываем внутренние механики Android с помощью контекста и манифеста mobDevWorks 07.07.2025 Каждый Android-разработчик сталкивается с Context и манифестом буквально в первый день работы. Но много ли мы задумываемся о том, что скрывается за этими обыденными элементами? Я, честно говоря,. . .	API на базе FastAPI с Python за пару минут AI_Generated 07.07.2025 FastAPI - это относительно молодой фреймворк для создания веб-API, который за короткое время заработал бешеную популярность в Python-сообществе. И не зря. Я помню, как впервые запустил приложение на. . .	Основы WebGL. Раскрашивание вершин с помощью VBO 8Observer8 05.07.2025 На русском https:/ / vkvideo. ru/ video-231374465_456239020 На английском https:/ / www. youtube. com/ watch?v=oskqtCrWns0 Исходники примера:	Мониторинг микросервисов с OpenTelemetry в Kubernetes Mr. Docker 04.07.2025 Проблема наблюдаемости (observability) в Kubernetes - это не просто вопрос сбора логов или метрик. Это целый комплекс вызовов, которые возникают из-за самой природы контейнеризации и оркестрации. К. . .	Проблемы с Kotlin и Wasm при создании игры GameUnited 03.07.2025 В современном мире разработки игр выбор технологии - это зачастую балансирование между удобством разработки, переносимостью и производительностью. Когда я решил создать свою первую веб-игру, мой. . .
Создаем микросервисы с Go и Kubernetes golander 02.07.2025 Когда я только начинал с микросервисами, все спорили о том, какой язык юзать. Сейчас Go (или Golang) фактически захватил эту нишу. И вот почему этот язык настолько заходит для этих задач: . . .	C++23, квантовые вычисления и взаимодействие с Q# bytestream 02.07.2025 Я всегда с некоторым скептицизмом относился к громким заявлениям о революциях в IT, но квантовые вычисления - это тот случай, когда революция действительно происходит прямо у нас на глазах. Последние. . .	Вот в чем сила LM. Hrethgir 02.07.2025 как на английском будет “обслуживание“ Слово «обслуживание» на английском языке может переводиться несколькими способами в зависимости от контекста: * Service — самый распространённый. . .	Использование Keycloak со Spring Boot и интеграция Identity Provider Javaican 01.07.2025 Два года назад я получил задачу, которая сначала показалась тривиальной: интегрировать корпоративную аутентификацию в микросервисную архитектуру. На тот момент у нас было семь Spring Boot приложений,. . .	Содержание темы с примерами на WebGL 8Observer8 01.07.2025 Все примеры из книги Мацуды и Ли в песочнице JSFiddle Пример выводит точку красного цвета размером 10 пикселей на WebGL 1. 0 и 2. 0 WebGL 1. 0. Передача координаты точки из главной программы в. . .

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	15.10.2013, 05:33
	Подготовьте лог AdwCleaner. 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	15.10.2013, 05:55
	Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. a) Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. b) Запустите combofix.exe, когда процесс завершится запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." 0

@god_says_hello 0 / 0 / 0 Регистрация: 14.10.2013 Сообщений: 9
	15.10.2013, 11:22 [ТС]
	Выполнено. Проблема решена. Большущее спасибо вам за помощь, всё очень доходчиво и профессионально) ЗЫ что интересно, когда пытался сам справиться и рыскал в реестре, я уже натыкался в hklm/system/ccs/services/tcpip на этот айпи. Почесал репу, подумал "а что он здесь делает, явно не должен быть" и удалил его. Но ничего не изменилось. Миниатюры 0

@Sandor 22361 / 15833 / 3061 Регистрация: 08.10.2012 Сообщений: 64,456
	15.10.2013, 11:29
	Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. Рекомендации после удаления вредоносного ПО 0

@god_says_hello 0 / 0 / 0 Регистрация: 14.10.2013 Сообщений: 9
	16.10.2013, 09:32 [ТС]
	переход по ссылке даже после регистрации там выдаёт ошибку. Скриншот прилагаю. но я в принципе и так осведомлён, что и как у меня в системе с обновлениями. Большинство инструкций во второй ссылке выполняю регулярно. Миниатюры 0

@Sandor 22361 / 15833 / 3061 Регистрация: 08.10.2012 Сообщений: 64,456
	16.10.2013, 10:30
	SecurityCheck by glax24 попробуйте отсюда. Форум переехал на другой движок и пока еще не все на местах. 1