Вирус, неуловимый Eset-ом и Касперским - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 23.05.2014

Размещено 23.05.2014 10:46:46

При щелчке ссылок в браузерах периодически идет переход на другие сайты (через http://0zqzz.promorewards.xxxtoe.eu/,
srv123.com и другие). Иногда отпускает, иногда каждая третья ссылка (в том числе с сайтов esetnod32.ru, vk.com) ведет на рекламу. Проверила пробной версией Касперского, Eset Smart security - не помогает, ничего не находит. Что делать? Windows 7.

Сообщений: 6

Баллов: 3

Регистрация: 23.05.2014

Размещено 23.05.2014 11:37:29

Какой наглый вирус! просто через клик работает, сил уже нет ( И никто не ловит.

PS Даже при клике Яндекс-карт черти-куда уходит. Заметила, что еще через вот этот сайт перенаправляет http://click.dealshark.com/ (Не прямо на него, а сначала на него, а через секунду на рекламу)

Изменено: Екатерина Гал - 23.05.2014 11:41:13

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 23.05.2014 11:47:24

Для начала
http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 6

Баллов: 3

Регистрация: 23.05.2014

Размещено 23.05.2014 17:52:17

Пожалуйста, вот образ.

Прикрепленные файлы

КАТЯ-ПК_2014-05-23_17-45-28.7z (687.21 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2014 19:47:45

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.82.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\КАТЯ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE addsgn 1A0E719A55839B8EF42B624E41B0F68B2575D9826D741FF37A964E50AFA365B356073C2232AAE84143A6E319467E55C396DF003452DAB0AFE96FF9ECAD0E9A25 8 mediaget zoo %SystemDrive%\USERS\КАТЯ\APPDATA\ROAMING\DIGITALSITES\UPDATEPROC\UPDATETASK.EXE addsgn A7679B19919AF4FA5195AE598038ECFA164AA99E76A15E78E13CF5D8D9F699ADE8E93CD2FE5A13892B808427126A08FAC7CBB4335532A2CCD3882712937A6373 9 Win32:PUP-gen [PUP] deldirex %SystemDrive%\USERS\КАТЯ\APPDATA\LOCAL\MEDIAGET2 delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE delall %SystemDrive%\PROGRAM FILES (X86)\ASK.COM\GENERICASKTOOLBAR.DLL delall %SystemDrive%\USERS\КАТЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\USERS\КАТЯ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delall %SystemDrive%\PROGRAM FILES (X86)\ASK.COM\UPDATER\UPDATER.EXE delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE hide %SystemDrive%\PROGRAM FILES (X86)\WINSCP\WINSCP.COM ;------------------------autoscript--------------------------- chklst delvir delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1399379169&FROM=COR&UID=SAMSUNGXHM641JI_S266J90BA26688A26688 delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1399379169&FROM=COR&UID=SAMSUNGXHM641JI_S266J90BA26688A26688&Q={SEARCHTERMS} delref HTTP://WWW.SWEET-PAGE.COM/NEWTAB/?TYPE=NT&TS=1399379169&FROM=COR&UID=SAMSUNGXHM641JI_S266J90BA26688A26688 ; webget ;exec C:\Program Files (x86)\webget\webgetuninstall.exe uidel C:\Program Files (x86)\webget\webgetuninstall.exe ; Java(TM) 6 Update 33 (64-bit) exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416033FF} /quiet ; Bonjour exec MsiExec.exe /X{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D} /quiet ; Pandora Service exec C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe ; mediagetsearch Toolbar exec C:\Program Files (x86)\mediagetsearch Toolbar\Uninstall.exe ; Java(TM) 6 Update 27 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF} /quiet ; Ask Toolbar exec MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\КАТЯ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
addsgn 1A0E719A55839B8EF42B624E41B0F68B2575D9826D741FF37A964E50AFA365B356073C2232AAE84143A6E319467E55C396DF003452DAB0AFE96FF9ECAD0E9A25 8 mediaget

zoo %SystemDrive%\USERS\КАТЯ\APPDATA\ROAMING\DIGITALSITES\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF4FA5195AE598038ECFA164AA99E76A15E78E13CF5D8D9F699ADE8E93CD2FE5A13892B808427126A08FAC7CBB4335532A2CCD3882712937A6373 9 Win32:PUP-gen [PUP]

deldirex %SystemDrive%\USERS\КАТЯ\APPDATA\LOCAL\MEDIAGET2
delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ASK.COM\GENERICASKTOOLBAR.DLL
delall %SystemDrive%\USERS\КАТЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\USERS\КАТЯ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\ASK.COM\UPDATER\UPDATER.EXE
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\WINSCP\WINSCP.COM
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1399379169&FROM=COR&UID=SAMSUNGXHM641JI_S266J90BA26688A26688

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1399379169&FROM=COR&UID=SAMSUNGXHM641JI_S266J90BA26688A26688&Q={SEARCHTERMS}

delref HTTP://WWW.SWEET-PAGE.COM/NEWTAB/?TYPE=NT&TS=1399379169&FROM=COR&UID=SAMSUNGXHM641JI_S266J90BA26688A26688

; webget
;exec C:\Program Files (x86)\webget\webgetuninstall.exe

uidel C:\Program Files (x86)\webget\webgetuninstall.exe

; Java(TM) 6 Update 33 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416033FF} /quiet

; Bonjour
exec MsiExec.exe /X{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D} /quiet

; Pandora Service
exec C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe

; mediagetsearch Toolbar
exec C:\Program Files (x86)\mediagetsearch Toolbar\Uninstall.exe

; Java(TM) 6 Update 27
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF} /quiet

; Ask Toolbar
exec MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

+
удалите все ярлыки браузеров на рабочем столе и в быстром запуске и заново создайте их
+
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Изменено: santy - 23.05.2014 19:52:19

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 23.05.2014

Размещено 23.05.2014 21:13:55

Все проделала, 5 минут пощелкала, пока вроде все ок. Прикрепляю лог малваребайт.
Завтра точно скажу, все ли ок (еще пощелкаю, но пока вроде нет переходов на рекламу).

Прикрепленные файлы

malwarebytes.txt (10.26 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 23.05.2014 22:08:17

В Malwarebytes - всё найденное удалите.

Для удаления Отметьте все найденные объекты в чек-боксах [V].
Примените команду: Remove Selected
( Удалить выбранное )
Или поместите найденное в карантин.
( В зависимости от версии программы )
--------
Далее: Выполните лог в AdwCleaner: http://forum.esetnod32.ru/forum9/topic7084/

Сообщений: 6

Баллов: 3

Регистрация: 23.05.2014

Размещено 23.05.2014 22:28:18

Прилагаю лог AdwCleaner. Пока все ок.

Прикрепленные файлы

AdwCleaner[R0].txt (7 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 23.05.2014 22:46:25

Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке: Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой
Пишем о результатах лечения.

Сообщений: 6

Баллов: 3

Регистрация: 23.05.2014

Размещено 23.05.2014 23:05:27

Удалила.
Лечение прошло успешно, спасибо, переход на рекламу по кликам не возобновляется.
А в чем дело было?

[ Закрыто ] Вирус, неуловимый Eset-ом и Касперским , Переход на рекламу при кликах ссылок во всех браузерах