Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Помогите избавиться от открывающихся окон в браузере

1 2 След.
RSS
 
Владимир Швецов
Владимир Швецов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 20.08.2014
Размещено 20.08.2014 10:11:49
Добрый день. Появилась такая проблема, на определенных сайтах при переходе по ссылкам или просто внесения в поле каких либо данных самопроизвольно открываются вкладки с рекламой какого-то браслета. Антивирус ничего не обнаруживает.
Прикрепляю образ автозапуска в uVS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.08.2014 10:21:06
Цитата
Полное имя                  110.100.0.89:3128
Имя файла                   110.100.0.89:3128
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Int­ernet\ManualProxies\
                           110.100.0.89:3128

прокси сами ставили?
https://www.nic.ru/whois/?query=110.100.0.89
судя по whois - это китайский провайдер.

Цитата
inetnum: 110.96.0.0 - 110.127.255.255
netname: CTTNET
descr: China TieTong Telecommunications Corporation
descr: Jinze Mansion, 2 Guangningbo Street,
descr: Xicheng District, Beijing, China, 100032
country: CN
Изменено: santy - 20.08.2014 10:21:38
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.08.2014 10:31:37
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.83 BETA 18 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\NETUPDSRV.EXE
addsgn 1AAAE79A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B84B49771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetworkUpdate.mbam

zoo %SystemDrive%\USERS\V.SHVETSOV\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\USERS\V.SHVETSOV\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
addsgn 9252775A106AC1CC0B84544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 13 sohanad_vir

zoo %SystemRoot%\SYSWOW64\NETHTSRV.EXE
addsgn 1ABC099A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B04549471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetUpdate.mbam

zoo %SystemRoot%\SYSWOW64\HFPAPI.DLL
addsgn 79132211B9E9317E0AA1AB5922801205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A86CA414031E1FAD17D7B1CCC538B23CA00A44DC628F678B 64 Win32/RiskWare.NetFilter.B [ESET-NOD32]

delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE
delall %SystemDrive%\USERS\V.SHVETSOV\APPDATA\ROAMING\NEWNEXT.ME\NENGINE.DLL
delref 110.100.0.89:3128
zoo %Sys32%\DRIVERS\NETHFDRV.SYS
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %Sys32%\DRIVERS\NETHFDRV.SYS
del %Sys32%\DRIVERS\NETHFDRV.SYS

; OffersWizard Network System Driver
exec C:\Program Files (x86)\Common Files\Config\uninstinethnfd.exe
; McAfee Security Scan Plus
exec C:\Program Files (x86)\McAfee Security Scan\uninstall.exe
; Java(TM) 6 Update 32
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216032FF} /quiet
deltmp
delnfr
CZOO
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
 
Владимир Швецов
Владимир Швецов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 20.08.2014
Размещено 20.08.2014 10:36:08
Прокси ставил не я.
Сейчас все сделаю по инструкции.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.08.2014 10:53:09
ок, ждем результат выполнения скрипта, и лог сканирования в мбам
[ Как создать образ автозапуска? ]
 
Владимир Швецов
Владимир Швецов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 20.08.2014
Размещено 20.08.2014 11:33:18
Архив из каталога отправил на указанные адреса электропочты.
Жду окончания проверки системы в малваребайт...
Исчезла проблема открывающихся произвольных рекламных окон в браузере.
Но осталось появление рекламы в новом окне при запуске Оперы.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.08.2014 11:36:20
+
удалите все ярлыки браузеров на рабочем столе и в быстром запуске, и заново создайте их
+
ждем лог сканирования в мбам
[ Как создать образ автозапуска? ]
 
Владимир Швецов
Владимир Швецов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 20.08.2014
Размещено 20.08.2014 11:48:50
А нет показалось, окна рекламы все равно появляются. на 5-7 раз открывания по ссылке.
 
Владимир Швецов
Владимир Швецов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 20.08.2014
Размещено 20.08.2014 12:04:19
Удалил ярлыки. Проблемы пока что не наблюдаю.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.08.2014 16:34:22
Цитата
Владимир Швецов пишет:

А нет показалось, окна рекламы все равно появляются. на 5-7 раз открывания по ссылке.

удалите все найденное в малваребайт,

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции Папки снимите галки с записей mail.ru, yandex

остальное удалите по кнопке Очистить

далее,

если проблема не решится, добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему