Рекламная страница

celll · №1

Здравствуйте,уже 5 лет пользуюсь исключительно Firefox,но начиная с версии 3.6 частенько при запуске,игнорируя пустую или домашнюю страницу грузятся всевозможные рекламные страницы на русском языке а также иногда при нажатии на какуюю-нибудь ссылку на обычном сайте,должен признать я не знаток всех возможностей браузера а обычный пользователь у которого установленно буквально 5 дополнений.пробовал чистить кэш,куки,переустанавливал...вобщем посоветуйте как правильно поступить.Спасибо [firefox]

Artem_S · №2

celll
Проверка на вирусы, трояны итд.

Тайлер · №3

celll
Можете сделать лог HiJack This (Do a system scan and save a logfile).
И просканируйте Malwarebytes Anti-Malware Free

Если выложите логи Хайджека и MBAM под спойлер, всем будет проще.

celll · №4

вот пожалуйста

скрытый текст

hijackthis-R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\WebMoney Advisor\tbhelper.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: TBSB03374 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O4 - HKLM\..\Run: [wmagent.exe] "C:\Program Files\WebMoney Agent\wmagent.exe"
O4 - HKLM\..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKCU\..\Run: [Hot Keyboard] C:\Program Files\Hot Keyboard\HotKeyb.exe -minimized
O4 - HKCU\..\Run: [WinRoll] "K:\0 Programm\TVIKS\0Тонкая настройка WinXP\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-2470889665-2210972027-671569471-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-2470889665-2210972027-671569471-1001\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O4 - HKUS\S-1-5-18\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'система')
O4 - HKUS\.DEFAULT\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'Default user')
O8 - Extra context menu item: Assign &hot key - C:\Program Files\Hot Keyboard\IEScript.htm
O8 - Extra context menu item: Скачать FLV видео содержимое с помощью IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Скачать все ссылки с помощью IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Скачать с помощью IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA958AC8-F9FC-43B8-BDD8-C532B7EB8E59}: NameServer = 195.38.32.3 195.38.33.2
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe

--
End of file - 4991 bytes

скрытый текст

mbam-log-2011-05-04-Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 6502

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

04.05.2011 14:38:10
mbam-log-2011-05-04 (14-37-56).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 149074
Времени прошло: 3 минут, 13 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 1
Заражённые параметры в реестре: 0
Объекты реестра заражены: 1
Заражённые папки: 0
Заражённые файлы: 0

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
(Вредоносных программ не обнаружено)

Тайлер · №5

celll
Все же запустите полное сканирование MBAM.
Сейчас же можно зайти в карантин, и удалить это:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter)

По хайджеку. Вам очень нужен WebMoney Advisor?
Запустите повторно сканирование, отметьте галочками следующие пункты, и нажмите Fix Checked:

скрытый текст

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\WebMoney Advisor\tbhelper.dll
O2 - BHO: TBSB03374 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O4 - HKLM\..\Run: [wmagent.exe] "C:\Program Files\WebMoney Agent\wmagent.exe"

А также секцию 08, 09

Ничего криминального не видно.

celll · №6

все сделал так как вы просили...злополучное окно с

Войдите или зарегистрируйтесь, чтобы увидеть скрытый текст.

по прежнему требует обновить браузер,что за обьект инициирует запуск подробных окон ,ведь можно же проследить наверно

Тайлер · №7

celll
Давайте попробуем еще так. Скачайте и запустите AVZ, через меню "Файл" обновите базы.
Далее опять же через меню "Файл" - "Стандартные скрипты". Отметьте галочкой пункт №2, и нажмите кнопку "Выполнить отмеченные скрипты".
После сбора сведений о системе в директории AVZ появится папка LOG, а в ней сгенерированный отчет - virusinfo_syscheck.zip. Залейте его на какой-нибудь доступный обменник, например zalil.ru, и дайте здесь ссылку.

celll · №8

все сделано,пожалуйста

скрытый текст

http://zalil.ru/30983295

и еще метод эвристики поставил на максимальный

Тайлер · №9

celll, в AVZ: меню "Файл" - "Выполнить скрипт", в открывшееся окно скопируйте текст из под спойлера, и "Запустить".

скрытый текст

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\hpfll6en.dll','');
QuarantineFile('C:\Windows\system32\psxss.exe','');
QuarantineFile('progman.exe','');
QuarantineFile('E:\9049bf9ac38959f28a\DW\DW20.exe','');
QuarantineFile('C:\Windows\system32\READREG','');
QuarantineFile('C:\PROGRA~1\AUSLOG~1\AUSLOG~1\AUSSHE~1.DLL','');
QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
QuarantineFile('C:\Windows\system32\drivers\tsusbhub.sys','');
QuarantineFile('C:\Windows\system32\drivers\synth3dvsc.sys','');
QuarantineFile('C:\Users\dima\AppData\Roaming\NVIDIA\HWAccess.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{5DD7B0A4-F6D0-45FB-B827-6D8C8A9114C3}\MpKslf748f5ef.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DC037A06-0745-4F67-9E03-52BFDB8ED32A}\MpKslf51d1a7f.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{9B5499A2-0D35-4E33-9347-C9AB1FFEC6CC}\MpKslddfffa79.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A097A99C-7A87-45B3-9C06-11FD9CE142A3}\MpKslc6c7ec79.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DA48E14C-9930-43CC-83CF-B31FCF317305}\MpKsl8d13c853.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A8984812-3370-42D1-9DC4-0D0A04570117}\MpKsl80e04039.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{AFA54846-025A-4155-A54C-2FE23A08E5EA}\MpKsl7656e0ea.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DC037A06-0745-4F67-9E03-52BFDB8ED32A}\MpKsl63ab32fe.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A8984812-3370-42D1-9DC4-0D0A04570117}\MpKsl596db7b0.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{19509F39-E143-45F7-9678-B4340BE2B320}\MpKsl262e83e8.sys','');
DeleteFile('E:\9049bf9ac38959f28a\DW\DW20.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',3,3,true);
ExecuteWizard('SCU',3,3,true);
BC_Activate;
RebootWindows(true);
end.

После этого компьютер перезагрузится сам.

Еще раз выполните скрипт такого содержания:

скрытый текст

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end

Qurantine.zip из директории AVZ залейте в обменник.

Отредактировано Тайлер (06-05-2011 00:04:48)

celll · №10

первый пункт выполнил а при вставке скрипта о создании Qurantine.zip пишет Ошибка скрипта:'.'expected,позиция[4:1]

Тайлер · №11

Моя вина. Исправил.

Выделить код

Код:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

celll · №12

отправил

скрытый текст

http://zalil.ru/30988575

Тайлер · №13

Файлы не попали в карантин...
Выполните еще скрипт, комп перезагрузится:

скрытый текст

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\dima\AppData\Roaming\NVIDIA\HWAccess.sys','');
QuarantineFile('C:\Windows\system32\psxss.exe','');
QuarantineFile('progman.exe','');
DelCLSID('CA3EB689-8F09-4026-AA10-B9534C691CE0');
DelCLSID('FCBCCB87-9224-4B8D-B117-F56D924BEB18');
DelCLSID('3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840');
DelCLSID('D27CDB6E-AE6D-11CF-96B8-444553540000');
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

И снова залейте карантин...
Хотя, мне опять же кажется, ничего зловредного там нет...

Попродуйте еще запустить вот эту программу: http://free.antivirus.com/cwshredder/
И пофиксить (Fix), по заявлениям разработчика она должна убивать browser hijackers, если они есть.

celll · №14

cwshredder ничего не нашел а вот HouseCall с того же сайта после 40 минутного копания кое-что нашел

скрытый текст

Проверенный файл: 6fc7c2e6-7098fd1a - Инфицирован

Статистика проверки:
6fc7c2e6-7098fd1a/META-INF/MANIFEST.MF - в порядке
6fc7c2e6-7098fd1a/bpac/Bombapack$1.class - в порядке
6fc7c2e6-7098fd1a/bpac/Bombapack.class - инфицирован Trojan-Downloader.Java.OpenStream.aq
6fc7c2e6-7098fd1a/bpac/KAVS.class - инфицирован Trojan-Downloader.Java.OpenConnection.cg
Известных вирусов: 5364238 Дата последнего обновления: 07-05-2011
Размер файла (Kb): 4 Тел вирусов: 2
Файлов: 4 Предупреждений: 0
Архивов: 1 Подозрительных: 0
ну и собственно описание http://www.securelist.com/ru/descriptio … nection.cg и http://www.securelist.com/ru/descriptio … nStream.aq

и как обычно Java в своем репертуаре,хотя в настройках указано автообновление раз в неделю,вобщем вручную установил последнюю сборку сегодня,где вроде как закрыта эта уязвимость

Полезная информация

№104-05-2011 04:09:17

Рекламная страница

№204-05-2011 08:53:10

Re: Рекламная страница

№304-05-2011 09:11:02

Re: Рекламная страница

№404-05-2011 12:58:45

Re: Рекламная страница

№504-05-2011 13:42:18

Re: Рекламная страница

№605-05-2011 00:26:59

Re: Рекламная страница

№705-05-2011 08:05:02

Re: Рекламная страница

№805-05-2011 15:01:54

Re: Рекламная страница

№905-05-2011 17:08:33

Re: Рекламная страница

№1006-05-2011 03:54:12

Re: Рекламная страница

№1106-05-2011 07:41:42

Re: Рекламная страница

Код:

№1206-05-2011 10:39:20

Re: Рекламная страница

№1307-05-2011 00:18:12

Re: Рекламная страница

№1407-05-2011 08:25:26

Re: Рекламная страница

Board footer