Вирусные всплывающие окна в браузере - Форум технической поддержки ESET NOD32

Сообщений: 7

Баллов: 3

Регистрация: 16.10.2016

Размещено 16.10.2016 11:20:03

Здравствуйте!
Возникла такая проблема, скачал прогу из потенциально зараженного места в инете(тк аналогичная на рутрейкере не устанавливалась) и получил в подарок кучу вирусов.
Симптомы - постоянно вылезающая реклама. Просканировал все антивирусом, вычистил кэш и куки, и дополнительно прогой Adw Cleaner. Часть рекламы пропала, но одна зараза все таки осталась - время от времени открываются окна с рекламой(казино Вулкан и регистрация на фейсбуке).
Помогите плз.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 16.10.2016 13:36:32

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 7

Баллов: 3

Регистрация: 16.10.2016

Размещено 16.10.2016 16:24:04

Вот

Прикрепленные файлы

HOME_PC_2016-10-16_16-21-06.rar (823.78 КБ)

Изменено: Иван Иванов - 16.10.2016 16:24:52

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 16.10.2016 18:02:28

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- delref HTTP://HNWL2NMRBJFQJWE.RU/?WGO delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\UMMYVIDEODOWNLOADER regt 27 ;------------------------------------------------------------- delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FGLDNKNLLJNFCFGCHDIJBJMMKDKMNABN\0.8_0\SEARCHWAY delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\KCKNBENJNKKJKNPHMNIDANJIFBGPHJKE\4.18_0\THE SAFE SURFING delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CKCMDPMHIEKIIHMFJFFDEHHBHGLLPAPG\2.21_0\ULTIMATE DISCOUNTER deltmp delnfr restart

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://HNWL2NMRBJFQJWE.RU/?WGO
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\UMMYVIDEODOWNLOADER

regt 27
;-------------------------------------------------------------

delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FGLDNKNLLJNFCFGCHDIJBJMMKDKMNABN\0.8_0\SEARCHWAY
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\KCKNBENJNKKJKNPHMNIDANJIFBGPHJKE\4.18_0\THE SAFE SURFING
delref %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CKCMDPMHIEKIIHMFJFFDEHHBHGLLPAPG\2.21_0\ULTIMATE DISCOUNTER
deltmp
delnfr
restart

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 7

Баллов: 3

Регистрация: 16.10.2016

Размещено 17.10.2016 01:27:00

Все сделал)

Прикрепленные файлы

Отчет.txt (2.15 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.10.2016 06:22:29

это оставьте в мбам,

Цитата
Файлы: 5 RiskWare.IStealer, C:\ProgramData\KMSAutoS\bin.dat, , [3fa9b1e84357ce68ca71e55bcf33d828], RiskWare.IStealer, C:\ProgramData\KMSAutoS\bin\KMSSS.exe, , [19cf9bfeeab041f5cc6f94acd52d6f91],

остальное удалите,

далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 16.10.2016

Размещено 17.10.2016 20:43:22

Все проделал, вирус больше не беспокоит)
Спасибо!

Прикрепленные файлы

FRST.txt (65.6 КБ)
Addition.txt (68.2 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 17.10.2016 23:35:54

Иван Иванов

1) Хорошо бы получить копию файла:

C:\Users\Дмитрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\fgldnknlljnfcfgchdijbjmmkdkmnabn

( так, как uVS версии: 3.87 его не увидел )

После чего:

2) Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
Task: {1354740B-F2F0-4C9B-B773-69477F047ECA} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION Task: {323B6853-0A6C-4585-91A5-6957B961F12A} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION Task: {4F8C768D-6B56-4931-9DD9-30F2588F93E1} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION Task: {88375E70-EBB0-4B79-A731-F53DF2EA36B2} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION MSCONFIG\startupreg: gpgbozkuln => explorer "http://egsuwor.ru/?utm_source=uoua03&utm_content=08cc55fcb29fb08560a2eb5361bfeecd&utm_term=0886E48F902455F3D0AC34923081CD49" GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-3208071539-3053735715-3832384804-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION OPR Extension: (SearchWay) - C:\Users\Дмитрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\fgldnknlljnfcfgchdijbjmmkdkmnabn [2016-10-14] EmptyTemp: Reboot:

Код

Task: {1354740B-F2F0-4C9B-B773-69477F047ECA} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {323B6853-0A6C-4585-91A5-6957B961F12A} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
Task: {4F8C768D-6B56-4931-9DD9-30F2588F93E1} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {88375E70-EBB0-4B79-A731-F53DF2EA36B2} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
MSCONFIG\startupreg: gpgbozkuln => explorer "http://egsuwor.ru/?utm_source=uoua03&utm_content=08cc55fcb29fb08560a2eb5361bfeecd&utm_term=0886E48F902455F3D0AC34923081CD49"
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3208071539-3053735715-3832384804-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
OPR Extension: (SearchWay) - C:\Users\Дмитрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\fgldnknlljnfcfgchdijbjmmkdkmnabn [2016-10-14]
EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.

Изменено: RP55 RP55 - 18.10.2016 00:13:43

Сообщений: 7

Баллов: 3

Регистрация: 16.10.2016

Размещено 18.10.2016 01:31:53

fgldnknlljnfcfgchdijbjmmkdkmnabn это папка с файлами
А в какой папке находится FRST? Просто у меня в загрузках сразу файл запуска .exe

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.10.2016 05:01:05

FRST находится там, откуда вы запускаете frst.exe
(просто для краткости мы называем исполняемый файл FRST)

[ Как создать образ автозапуска? ]

[ Закрыто ] Вирусные всплывающие окна в браузере , вирусное заражение