Решена Всплывающая реклама (ранее лечил сам - не помогло)

Статус
В этой теме нельзя размещать новые ответы.

tigger_am

Новый пользователь
Сообщения
12
Реакции
0
Добрый день, около месяца назад при открытии любого сайта в ИЕ, ОПЕРЕ или ХРОМЕ, слева появляется тулбар с рекламой, а может и новая закладка с рекламным сайтом открыться.

Логи, файла два, ругается на большой их размер, пришлось разделить:
 

Вложения

  • _ViruLogs_forum1.zip
    58.4 KB · Просмотры: 4
  • _ViruLogs_forum2.zip
    66.7 KB · Просмотры: 4
Сombofix зачем запускали?

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Помощь пользователям и выполните Правила запроса о помощи.
_______________________________________________________

1. В логе сканирования Hijackthis отметьте:
O17 - HKLM\System\CCS\Services\Tcpip\..\{7625B9B3-18BA-42C5-881E-E77DDEB7E83B}: NameServer = 193.111.137.202
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
нажмите "Fix checked". если пропадет подключение к интернету - в настройках сети - ipv4 - свойства - dns вручную пропишите dns своего провайдера или публичные - 8.8.8.8 alt 8.8.4.4

2. деинсталлируйте C:\Program Files\DealPlyLive

отключите одноименные плагины в браузерах, через установку и удаление программ удалите лишние тулбары, которыми не пользуетесь.

3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\wonder\LOCALS~1\Temp\raq4vj81.exe','');
DeleteFile('C:\DOCUME~1\wonder\LOCALS~1\Temp\raq4vj81.exe','32');
DeleteFile('C:\WINDOWS\Tasks\75r8.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(10);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4. Сделайте новые логи AVZ (ст. скрипт 2) и RSIT

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
 
Последнее редактирование:
Пункты 1,2,3 выполнил

Результаты 4,5 пункта прикрепил
 

Вложения

  • virusinfo_syscheck.zip
    31.1 KB · Просмотры: 1
  • info.txt
    56.6 KB · Просмотры: 0
  • log.txt
    41.4 KB · Просмотры: 3
  • MBAM-log-2013-11-24 (17-45-45).txt
    69.5 KB · Просмотры: 2
Удалите в MBAM только:
Код:
Обнаруженные ключи в реестре:  62
HKCR\AppID\{80FABB17-63AF-4655-9F07-B6509EE37AF2} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{80FABB17-63AF-4655-9F07-B6509EE37AF2} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.OnDemandCOMClassSvc.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.OnDemandCOMClassSvc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\AppID\{F48FC5B2-094A-44C7-B48C-289738C9582D} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{F48FC5B2-094A-44C7-B48C-289738C9582D} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.Update3COMClassService.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.Update3COMClassService (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{1E0C9B2A-6447-452C-B012-2314A0C29412} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.OnDemandCOMClassMachineFallback.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.OnDemandCOMClassMachineFallback (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{34A8CEB6-89BB-49F1-B5E4-0D0D6C21F3B1} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.CredentialDialogMachine.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.CredentialDialogMachine (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{3A4DBD3A-98CC-41CE-AD21-352D42B6F754} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.CoCreateAsync.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.CoCreateAsync (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{4F8A50F6-69DE-4BE3-A33A-A1079B9AC0DB} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.Update3WebMachineFallback.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.Update3WebMachineFallback (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{501CB57A-D4E2-4855-96AD-EDB0A9083395} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.CoreMachineClass.1 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.CoreMachineClass (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{6FF2C4DD-77A4-4BB5-BA4C-B42DEFBF9137} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.ProcessLauncher.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.ProcessLauncher (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{83ABA270-8390-4CA6-AE48-FC089F55629E} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.OnDemandCOMClassMachine.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.OnDemandCOMClassMachine (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{8B218A5F-1A3D-4347-94EF-A79575EB8094} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{8C338DDB-19FC-4C1F-B74D-6931EE55F7A1} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLive.Update3WebControl.3 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8C338DDB-19FC-4C1F-B74D-6931EE55F7A1} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8C338DDB-19FC-4C1F-B74D-6931EE55F7A1} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{9BDB5E09-4BBA-4422-8C2B-529B281C32B8} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{ae48ed75-5a56-4c5f-bbce-6f1ac3875f66} (PUP.DealPly) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE48ED75-5A56-4C5F-BBCE-6F1AC3875F66} (PUP.DealPly) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE48ED75-5A56-4C5F-BBCE-6F1AC3875F66} (PUP.DealPly) -> Действие не было предпринято.
HKCR\CLSID\{C536F080-57B7-46D6-8894-C647553F2889} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLive.OneClickProcessLauncherMachine.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLive.OneClickProcessLauncherMachine (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C536F080-57B7-46D6-8894-C647553F2889} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{CA5D945F-E738-4D0B-A0B5-25AC51C64659} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.CoreClass.1 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.CoreClass (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{F7698761-4ABA-45C2-A5BB-D2163922C725} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.Update3WebSvc.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.Update3WebSvc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\CLSID\{FFCC53E6-2655-47FC-A89B-54E8D7F305D1} (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.Update3WebMachine.1.0 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\DealPlyLiveUpdate.Update3WebMachine (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCR\DealPlyLive.OneClickCtrl.9 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCR\AppID\DealPlyLive.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\SOFTWARE\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKLM\SOFTWARE\MozillaPlugins\@tools.dpliveupdate.com/DealPlyLive Update;version=3 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKLM\SOFTWARE\MozillaPlugins\@tools.dpliveupdate.com/DealPlyLive Update;version=9 (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\dealplylive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\dealplylivem (PUP.Optional.DealPly.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре:  1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0M1S1H1K2U -> Действие не было предпринято.
Объекты реестра обнаружены:  0
(Вредоносных программ не обнаружено)
Обнаруженные папки:  9
C:\Program Files\2\instll (Trojan.Bananas) -> Действие не было предпринято.
C:\Program Files\rhv\rhv (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\DealPlyLive\Update (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\DealPlyLive\Update\Log (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\wonder\Application Data\Dealply (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\wonder\Application Data\Dealply\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\wonder\Local Settings\Application Data\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\wonder\Local Settings\Application Data\DealPlyLive\CrashReports (PUP.Optional.DealPly.A) -> Действие не было предпринято.
Обнаруженные файлы:  209
C:\$RECYCLE.BIN\S-1-5-18\$RKMSRI7.exe (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\rhv\rhv\kust.txt (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineCore.job (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineUA.job (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\DealPlyLive\Update\Log\DealPlyLive.log (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\wonder\Application Data\Dealply\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\wonder\Application Data\Dealply\UpdateProc\TTL.DAT (PUP.Optional.DealPly.A) -> Действие не было предпринято.
Что с проблемами?
 
Левый тулбар с рекламой ушел, но теперь когда запущена MBAM, при заходе на некоторые сайты появляются сообщения вида:

Была предотвращена попытка доступа к вредоносному веб-сайту: 195.68.160.188

тип: Исходящие

т.е редирект еще остался получается?Да в MBAM удалил как просили
 
Последнее редактирование:
Левый тулбар с рекламой ушел, но теперь когда запущена MBAM, при заходе на некоторые сайты появляются сообщения вида:
Вы включили триал версию MBAM и это ее попытка защитить систему. Удаление MBAM.

Обновите софт:
Код:
-------------Java---------------------------------
Java(TM) 6 Update 29 v.6.0.290 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-7u45-windows-i586.exe)^[/b][/color]
Java Auto Updater v.2.0.6.1
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.9.900.152
Adobe Shockwave Player 11.5 v.11.5.7.609 [color=red][b]Внимание! [url=http://get.adobe.com/shockwave/]Скачать обновления[/url][/b][/color]
Adobe Flash Player 10 ActiveX v.10.1.53.64 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe]Скачать обновления[/url][/b][/color]
Adobe Reader 9.5.2 v.9.5.2 [color=red][b]Внимание! [url=http://get.adobe.com/reader/]Скачать обновления[/url][/b][/color]
-------------Browser------------------------------
Mozilla Firefox 25.0.1 (x86 ru) v.25.0.1 [b][+][/b]
Opera 12.14 v.12.14.1738 [color=red][b]Внимание! [url=http://ftp.opera.com/pub/opera/win/1216/int/Opera_1216_int_Setup.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^[/b][/color]
Google Chrome v.31.0.1650.57 [b][+][/b]

https://safezone.cc/threads/rekomendacii-posle-udalenija-vredonosnogo-po.16715/

Тему можно отмечать решенной?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу