В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

piton331: Заражен браузер

отредактировано November 2016 Раздел: Форум лечения заражений
Доброго времени суток уважаемые хелперы. Случилась такая беда: в браузере непонятные редиректы, открываются левые ссылки. Антивирус комодо ничего не нашел. Выручайте. Спасибо.

Комментарии

  • Привет, piton331 :)
    рады видеть форумчан с псхп.
    для начала нужен образ автозапуска, конечно. время позднее сейчас. увлекся поиском ключей для расшифровки Ransom.Shade.breaking_bad, кстати, и нашел много ключей, возможно окму то поможем с расшифровкой, тем кто пострадал в ноябре 2015 -февраль 2016 года от этого шифратора. И сохранил свои зашифрованные документы.
    здесь наша инструкция по работе
    http://chklst.ru/discussion/1542/Иnstrukciya-po-rabote-na-forume-lecheniya-zarazheniy#latest

    а здесь ссылка на то, как создать образ:
    http://chklst.ru/forum/discussion/4/kak-sozdat-obraz-avtozapuska-v-uvs-kratkaya-instrukciya#Item_1
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано September 2016 PM
    Привет safety :) я тоже рад встрече ( блин, звучит прикольно учитывая повод для встречи :D ) когда узнал что хелперы уходят с псхп а на технари не будут работать сразу добавил ваш новый адрес в закладки. Ибо доверяю только вам, выручали не раз.
    Лог uVS http://muonium.rgho.st/6bpxg2ltq
  • отредактировано September 2016 PM
    На технарях мы остались (в конце-концов), но времени стало заметно меньше, Гризлик чаще бывает, Vvvyg реже, RP55 -совсем нет.

    по проблеме:
    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v3.87.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    chklst
    delvir
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
    
    deltmp
    delnfr
    ;-------------------------------------------------------------
    
    regt 27
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее, проверяем систему в малваребайт
    https://forum.esetnod32.ru/forum9/topic10688/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • После ювс ничего не изменилось
    лог МВАМ http://fracton.rgho.st/private/6bnFSZtFS/ef19fdfc7585de1e9878f6fd54f57af0
  • отредактировано July 2016 PM

    piton331 - Приветствую :)

    1) В Malwarebytes - всё найденное удалите.
    ( поместите в карантин )

    2) Выполните лог в AdwCleaner
    http://forum.esetnod32.ru/forum9/topic7084/

    после завершения сканирования:
    Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
    На вкладке:
    Папки (Folders) для Mail.Ru и Yandex снимите [V]

    Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
    с автоперезагрузкой.

    3) FRST: http://forum.esetnod32.ru/forum9/topic2798/
  • отредактировано August 2016 PM
    piton331,
    надо было по логу AdwCleaner пофиксить все найденное, кроме майлру и яндекса. Это сделано? потом уже логи frst создавать.

    по логу frst:

    6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    CHR StartupUrls: Default -> "hxxp://aztiwin.ru/?utm_content=094ef9ef1c8635e95fad13f3d1d3bbe0&utm_source=startpm&utm_term=078335DE874D5492124C025CBED4AD23"
    CHR Extension: (friGate CDN - доступ к сайтам) - C:\Users\USer\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbacbcfdfaapbcnlnbmciiaakomhkbkb [2015-11-28]
    OPR Extension: (friGate CDN - доступ к сайтам) - C:\Users\USer\AppData\Roaming\Opera Software\Opera Stable\Extensions\mbacbcfdfaapbcnlnbmciiaakomhkbkb [2016-03-10]
    EmptyTemp:
    Reboot:
    
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • 2) Выполните лог в AdwCleaner
    http://forum.esetnod32.ru/forum9/topic7084/

    после завершения сканирования:
    Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
    На вкладке:
    Папки (Folders) для Mail.Ru и Yandex снимите [V]

    Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
    с автоперезагрузкой.
    Это было сделано перед запуском FRST

    Fixlog: http://fracton.rgho.st/private/8x7J2Ptjy/fb452c636e4810a13c47a0a02a2038b0
    Пока без улучшений. Хнык :D
  • отредактировано August 2016 PM
    проблема только в Chrom-е, или во всех браузерах? Удалить ярлыки браузеров на рабочем столе и заново создать их. Восстановить настройки Chrome по умолчанию. Если не поможет, добавь новый образ автозапуска. Глянем еще раз.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Только в хроме.
    Новый образ автозапуска после скинутых на дефолт настроек браузера: http://fracton.rgho.st/8PnqVXN5P
    Что самое интересное ничего не предвещало беды. Никаких доп. расширений не втыкал. Как упаковал ноут после покупки так и пользовался chromodo (который идёт вместе с комодом любимым ).
    Далее с моей стороны телодвижения типа "подключай расширения по очереди и смотри опосля какого будут глюки" верно ?
  • отредактировано August 2016 PM
    По образу плохого не видно.

    Поищите в реестре записи: aztiwin.ru
    если, что будет - сделайте экспорт ключа.
    Посмотрим.
    Если это: "подключай расширения по очереди и смотри опосля какого будут глюки"
    не поможет то:

    1) Хром
    Поисковые системы.

    Откройте браузер.
    Параметры > Поиск > Управление поисковыми системами.

    Посмотрите может есть, что лишнее.

    2) В Браузере Отключите синхронизацию данных с серверами Google
    Подробно: http://my-chrome.ru/2013/05/kak-pravilno-otklyuchit-sinxronizaciyu-v-google-chrome/
    Удалите браузер со всеми настройками...
    Для этого необходимо удалить папку с пользовательским профилем. Где ее найти:


    1. Путь в Windows XP
    C:\Documents and Settings\Local Settings\Application Data\google\chrome\user data

    2. Путь в Windows Vista/7
    C:\Users\Ваш пользователь\AppData\Local\Google\Chrome\user data

    * Если вы не можете найти папку AppData \ Application Data — в панели Управления в свойствах папки включите отображение скрытых файлов и папок.

    Перезагрузите PC

    Установите браузер.
  • Спасибо ребята, буду паковать браузер заново. Остаток со счета был мелкий, но полтиник лучше чем ничего, перегнал на доброе дело.
    Токмо зачем похерили историю в Opera ХЗ, впрочем Вам виднее.
  • piton331,
    посмотри еще вот этот плагин, возможно и он генерирует рекламу.
    Video and Audio Plugin UBar
    C:\Program Files\UBar\UbarUninstaller.exe
    видел по логам что есть что-то от Ubar, но вот в образе не нашел. вполне возможно что отновится к классу потенциально нежелательных программ.
    за перевод спасибо, как всегда.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • C:\Program Files\UBar\UbarUninstaller.exe
    Такого не нашел в ноуте думая проверить на вирустотале, да и йух с ним. Нет ехе-шника значит и проблем нету...
    Ещё раз спасибо.
    (ушел биться с рекламными банерами ) :p
  • Папку C:\Program Files\UBar тоже можно удалить, если она есть на диске.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2016 PM
    piton331

    Откройте в текстовом редакторе файл hosts
    C:\WINDOWS\system32\drivers\etc\hosts
    Пропишите в файл строки:

    127.0.0.1 Адрес проблемного сайта
    127.0.0.1 www.Адрес проблемного сайта

    Вам нужно заблокировать сайт: aztiwin.ru

    После
    Перезагрузите PC
    Доступ к проблемным сайтам будет заблокирован.
    Пишем результат.
    rp55rp55 написал: »
    Поищите в реестре записи: aztiwin.ru
    если, что будет - сделайте экспорт ключа.
    Посмотрим.
  • отредактировано August 2016 PM
    DNS на роутере/ТД проверить

    В Farbar Recovery Scan Tool еще это профиксить
    Task: {C4AE3C3E-C327-4689-B6FD-C11FB31AE88B} - \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler -> No File <==== ATTENTION
    Task: {E5B0D801-4327-4DAF-896D-D26D21E58708} - \nethost task -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    
  • C:\Program Files\UBar тоже можно удалить, если она есть на диске.
    нету такой
    ,

    DNS на роутере/ТД проверить
    долбагрёбаная йота в связке с zyxel Keenetik 4g III ?
  • отредактировано August 2016 PM
    piton331,
    надо проверить айпшники, не прописаны левые в DNS в роутере
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • надо проверить айпшники, не прописаны левые в DNS в роутере
    Думаешь вирусяки добрались до роутера по вайфаю и там начудили ?
    Долбаный роутер был куплен вместе с ноутом, до обращения к хелперам шуршал, впрочем и сейчас шуршит...
  • отредактировано August 2016 PM
    как вариант не мешает проверить.
    роутеры вполне могут подхватить какой-нибудь пакет по сети, который использует ошибки или уязвимости в софте роутера, и добавляет левые DNS в настройки.
    однако, в этом случае редиректы будут во всех браузерах.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Такая шляпа была только в хроме.Была затея снести нафиг хром вместе с профилем, но потом про вас вспомнил. Вы и прописали нужную таблетку :)
Дискуссия закрыта.