Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Powered by SkinApp, навязчивая реклама в браузере

1
RSS
 
Андрей Рогов
Андрей Рогов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 05.06.2015
Размещено 05.06.2015 01:34:02
Здравствуйте. В результате вирусной атаки появились следующие неприятности:
2) Практически на всех сайтах, куда я захожу, стала появляться навязчивая реклама с надписью "Powered by SkinApp". Содержание этой рекламы было заблокировано адблоком, но сами рекламные окна остаются и неприятно;
3) На странице Вконтакте появилась ссылка "Галерея тем" наряду с "Приложения", "Документы" - в меню слева.
Подобную проблему встречал уже на этом форуме, но вот только решение её мне не помогло. Ув. Модератор предлагал данный скрипт через программу uVS
Данный скрипт:
;uVS v3.85.22 [http://dsrt.dyndns.org];Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\SKINAPP\SKINAPP.EXE
addsgn 1AE01C9A5583338CF42BF9E7EFBC3615AEC6D8E202863B740E024E6D5310­4AB2551FF8AF31D7F54A2B808B2563D2D2B87DDE9B75A67E593B2E77A4AE­3E862273 8 skinup

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\ADOBE\NATIVEPLUGIN\­OOBA\PPAPI\66B3F127-91B5-4E61-83AB-E776A1D95140\A06B7518-EEBA-4F57-A35F-2A76896B8DD2.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C10­8506CA82 59 plugin

hide G:\PROGRAM FILES (X86)\THE GAME OF LIFE\UNINST.EXE
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{E19E3B69-FACC-4BF8-9190-875F34BC860F}\8.8.8.8,8.8.4.4
; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

Он не помог. Пункта про "при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" " не появлялось.
Проверка антивирусом Eset не принесла результатов.
Откатывать систему не хотелось бы. Надеюсь на вашу помощь.
не знаю, как делать логи, но проверил систему малваребайтом, он нашел 14 проблем, вроде бы поместил в карантин, но ничего не поменялось. Вот его заключение (прикреплено)
Большое спасибо за ответ.
Изменено: Андрей Рогов - 05.06.2015 01:34:45
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.06.2015 02:45:09
скрипты на форумах индивидуальны, используя чужой скрипт вы можете вместо того что помочь системе, навредить ей.

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
Андрей Рогов
Андрей Рогов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 05.06.2015
Размещено 05.06.2015 09:32:50
Добавил.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.06.2015 10:58:12
выполните скрипт актуальной версией uVS
https://content.wuala.com/contents/al_1963/avirus/Universal%20Virus%20Sniffer/file­s/uvs_latest.zip/?dl=1

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
addsgn 1A16FE9A5583338CF42B627DA804DEC9E946303A4536D3B4D2954EC874C6FA000703482B1A591688A05187597DE83FF24627E7F03DD9B02C22CD813B1D542272 8 Trojan.Triosir.262 [DrWeb]

zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\SKINAPP\SKINAPP.EXE
;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT

del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT

del %SystemDrive%\PROGRAM FILES (X86)\OPERA\LAUNCHER.BAT

deldirex %SystemDrive%\PROGRAMDATA\TIMETASKS

REGT 27
REGT 28

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 05.06.2015 11:09:44
santy

C:\WINDOWS\SKINAPP.SYS
 
Андрей Рогов
Андрей Рогов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 05.06.2015
Размещено 05.06.2015 14:10:38
Спасибо, все хорошо, рекламы нет, ерунда с темами исчезла.
Скидываю малваребайт. Ещё раз спасибо.  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.06.2015 14:15:41
такой еще скрипт выполните
Изменено: santy - 05.06.2015 14:17:54
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.06.2015 14:18:13
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE


sreg

delref %SystemRoot%\SKINAPP.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
Изменено: santy - 05.06.2015 14:19:02
[ Как создать образ автозапуска? ]
 
Андрей Рогов
Андрей Рогов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 05.06.2015
Размещено 05.06.2015 14:44:16
После адвклинера слетело расширение на гугл хром, но в принципе ничего не поменялось. Почему нельзя было оставить галки на мейл и яндексе? это ж мусор, разве нет?
Отчеты адв клинера и FRST
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.06.2015 16:32:47
по майл.ру сами решайте удалять или нет.
кому мусор, кому майл родной.
лично я не пользуюсь их продуктами, кроме настроенной почты.
обвешают браузер своими поделками, шагу ступить не дадут, обязательно что-то свое откроют прежде чем доберешься до полезной страницы.

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
HKLM-x32\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe"
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:


пишем результат
[ Как создать образ автозапуска? ]
 
1
Читают тему