Пару раз в одно и то же время суток обнаружил, что самопроизвольно открывается некая рекламная страница в браузере. Ясно, вирус. Запустил углублённое сканирование системы. В «Корзине» были найдены и удалены следующие вирусы:
Далее включил предложенное сканирование при запуске, в процессе которого было удалено ещё несколько файлов из «Корзины», снова с указанием на те же вирусы. Впоследствии более ничего подобного не обнаруживалось, запускал сканирование ещё два-три раза. На всякий случай выполнил через командную строку
ipconfig /flushdns
(читал, что этот вирус портит записи DNS). И можно было подумать, что троян удалён.
Однако, сегодня днём открылось то же самое рекламное окошко.
Подскажите, кто в курсе, как довести решение проблемы до конца.
Extralinguist,здравствуйте! Добро пожаловать на форум!
подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.
Была вынужденная пауза, но вопрос по-прежнему актуален. Проверка на вирусы ничего не выявляет, но окно открывается. Чередуется несколько разных рекламных окон с общим заголовком (тегом ) Sponsorship, обычно после полуночи, один раз в сутки.
Сделал всё, как сказали, прилагаю требуемые файлы. Заранее спасибо за помощь.
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
Компьютер перезагрузится.
После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
После выполнения скрипта и перезагрузки скачайте утилиту Junkware Removal Tool:http://thisisudax.org/downloads/JRT.exe
Запустите программу от имени администратора. Обратите внимание, что перед началом работы необходимо закрыть браузер, Во время проверки он может временно скрыть рабочий стол, или показать окно проводника. Однако все эти действия являются нормальными в то время как Junkware Removal Tool работает на вашей системе, так что вам не придется беспокоиться о них. Когда программа завершит работу, будет произведен отчет, прикрепите его в следующем сообщении.
Прилагаю два оставшихся лога. TDSS Killer сначала запустил с настройками по умолчанию, потом настроил на проверку и загружаемых модулей тоже. Обе проверки не обнаружили никаких угроз.
После выполнения скрипта OTL, ночью, в то время, когда обычно активизировался вирус, никакой активности замечено не было. Тем не менее, выполнил полностью то, что вы порекомендовали. Надо ли полагать, что вирус добит?
В любом случае, что это было? В чём состоит угроза? Что делать, чтобы избежать заражения снова? Если нужна дополнительная информация для того, чтобы в дальнейшем этот вирус блокировался программой Avast с самого начала, я могу её предоставить, подняв по логам проверок Avast. В частности, имя зараженного файла и, возможно, сайт, с которого он был загружен (под видом инструкции к лекарственному средству).
Думаю, что вирус побежден, в любом случае, если реклама снова будет появляться, сообщите об этом.
Чтобы избежать заражения, рекомендую не использовать не лицензионное ПО или программы загруженные из сомнительных источников. Также будьте внимательны при установке программ, которые предлагают в довесок нежелательные программы (панели инструментов и расширения для браузеров)
Прочитать о вирусе Bicololo можно на официальном блоге аваст: http://blog.avast.com/ru/2012/10/10/спам-одноклассников/
Было бы неплохо, если Вы сможете привести ссылку на загрузку вредоносного файла, я сообщу об этом вирусным аналитикам, чтобы другие пользователи были в безопасности.
Увы, пару часов назад узнал, что это не так Снова злосчастное рекламное окно! Причём, что интересно, вчера в это время, после выполнения п. 1 вашей инструкции (OTL, Run Fix) - вирус в своё обычное время не проявился.
Однако, я обнаружил, что рекомендованная вами чистка, JRT.exe, удалила важную кнопку из дополнения Google Shortcuts в Firefox. Это кнопка задач Google, она выполняла открытие вот этой гугловской страницы (будет видна вам, если у вас есть аккаунт на Гугле, после авторизации там): https://mail.google.com/tasks/canvas?pli=1
Когда я после всех чисток запустил браузер, то обнаружил, что кнопка удалена вообще из состава панели (не только из моего набора, но из списка доступных кнопок в приложении). Тогда я прописал эту ссылку вручную, создав пользовательскую кнопку (там есть такая возможность) и прикрутив к ней указанный URL.
Может ли быть в этом дело? Или какая-то другая причина, и вирус не был удалён первоначально?.. Однако, странно, что на рабочем компе, где тоже установлена данная панель кнопок, и тоже используется аналогичная встроенная кнопка, рекламное окошко не появлялось ни разу.
Посоветуйте, пожалуйста, с какого этапа мне повторить процедуру очистки.
ОЧЕНЬ ВАЖНО !!! Сохраните ComboFix.exe на Рабочий стол
ВАЖНО - Отключите антивирус и антишпионское ПО, обычно это можно сделать, нажав правой кнопкой мыши по значку в системном трее. Они могут мешать работе программы. Если у Вас возникли трудности по поводу правильного отключения защитных программ см. здесь
[*]Дважды щелкните по иконке программы ComboFix.exe и следуйте инструкциям на экране.
[*]Примите соглашение и согласитесь на обновление, если программа попросит об этом
В тот же день, как получил вашу инструкцию, выполнил её - в воскресенье днём. Ждал, проявится ли вирус. В тот же день не проявился (может, потому, что я не перезагружал компьютер до того времени, когда обычно срабатывает вирус), но я решил выждать ещё сутки. И, к сожалению, не зря: сегодня ночью, сразу после 01:00 - злополучное окно тут как тут.
Адреса этих страниц каждый раз разные, даже тег , как выяснилось, совпадает не всегда. Но в большинстве случаев в них присутствует некий общий код. На всякий случай прилагаю в текстовом файле несколько адресов, может, пригодятся для анализа. У меня Аваст на них не ругается. Но возможно, молчание Аваста объясняется вирусом.
Прилагаю также требуемый лог ComboFix. Заранее спасибо за помощь.
Extralinguist, каким браузером Вы пользуетесь? Мне кажется, что рекламу выдает одно из установленных вами дополнений для браузера.
Если Вы используете браузер Firefox, то нажмите справка-> перезапустить с отключенными дополнениями и последите, будет ли с отключенными дополнениями появляться реклама.
Пользуюсь Файрфоксом, однако, боюсь, дело не в дополнениях. Последние два раза (предпоследний - совершенно точно) браузер вообще не был запущен. В час ночи он запустился самопроизвольно, без моего участия, а затем в нём открылось рекламное окно.
Некоторые дополнения, такие как Элементы и Визуальные закладки от Яндекса, панель Гугл - установлены и на других компьютерах. Никаких окон не открывается.
запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
:OTL
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
:Files
C:\Users\Mih\AppData\Roaming\DSite
c:\windows\system32\DRIVERS\eamonm.sys
:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
Компьютер перезагрузится.
После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
OTL by OldTimer - Version 3.2.69.0 log created on 07092013_211640
Files\Folders moved on Reboot…
C:\Users\Mih\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Mih\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp_avast_\Webshlock.txt scheduled to be moved on reboot.
PendingFileRenameOperations files…
Registry entries deleted on Reboot…
====
Честно говоря, настораживает строка:
File\Folder c:\windows\system32\DRIVERS\eamonm.sys not found.
не стоит так беспокоиться по этому поводу, на всякий случай проверьте: в папке c:\windows\SYSNATIVE\DRIVERS\ есть файл eamonm.sys? До этого у Вас был установлен ESET Nod 32?