Подмена баннеров в яндексе, всплывающие окна и пр.

Non-English Boards Русский
1

Добрый день!

Проблема не оригинальна, но решить самостоятельно не смог.
Проявляет себя в следующем:

  1. Не родные баннеры на стартовой странице Яндекса;
  2. Периодическое выскакивание всплывающего окна спама;
  3. При открытии ссылки из Яндекса помимо открытия окна с самой ссылкой, есть параллельный запрос на вредноносный сайт, о чем тут же хвастает аваст. url: Mal
  4. В новом открывшемся окне появляется вертикальный баннер слева, поверх текста сайта.
  5. При попытке входа на сайты каспера или вирусинфо, выкидывает на стартовую Яндекса (аваст работает, видимо его писатели вируса не испугались :slight_smile: )

В четырех установленных браузерах, ситуация идентична.
Помогите, плиз! 3 дня меня допекает этот зверь.

Необходимые логи прилагаю.

2

Забыл добавить. На компе стоял и стоит Avast IS лицензия.

3

Увидел подмененный ДНС в настройках сетевухи. Вернул все к исходному и вышеописанные симптомы пропали. После перезагрузки проблема не возобновилась, НО…
Прошу все же посмотреть логи на наличие виновника этой подмены ДНС. К сожалению IP не сохранил.

4

via, здравствуйте! Добро пожаловать на форум!
Более ничего вредоносного не обнаружил :wink:

Рекомендую почистить ПК, для этого скачайте утилиту Junkware Removal Tool

  • Запустите программу от имени администратора.
    Обратите внимание, что перед началом работы необходимо закрыть браузер, Во время проверки он может временно скрыть рабочий стол, или показать окно проводника. Однако все эти действия являются нормальными в то время как Junkware Removal Tool (JRT) работает на вашей системе, так что вам не придется беспокоиться о них.
  • Когда программа завершит работу, будет произведен отчет, прикрепите его в следующем сообщении.
5

Спасибо Andrey,pro за теплый прием :slight_smile: и за помощь.

Лог Junkware Removal прилагаю. Как-то очень быстро он протестил систему.

6

Теперь все в норме :slight_smile:

7

Еще раз СПАСИБО! 8)

8

А от этой беды Аваст способен защитить? ???

9

Не проверял, но думаю, что может: для этого нужно перевести экран поведения в режим спрашивать, тогда должен появиться запрос, что-то вроде “ненадежная программа пытается изменить настройки сети”

10

т.е. эту проблему не решить антивирусными дефинициями в обновлениях Аваста?

11

почему не решить, можно, ведь это вирус подменяет днс-адреса, а потом, видимо, удаляется, т.к следов вируса обнаружить не удается.

12

Андрей,Вы так этот вирус и не поймали? Нечего послать в лабораторию? :-\

13

посылать нечего, т.к. у всех, насколько я помню, кто обращался с подобной проблемой, вирусов не обнаружено, есть только подмененные днс-адреса. Лекарства от этого нет и, скорее всего, не будет

14

Вот именно это я и хотел узнать.

15

у меня такая же проблема!.что делать надо???

16

tytsika, здравствуйте! Добро пожаловать на форум!
подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.

17

вот файлы!и еще хочу сказать что в браузерах не заходит на сайт касперского как будто такого сайта нет)!

18

tytsika, запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

:OTL
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A0C39511-0D7A-4798-8AB3-54528EF8AE7D}: NameServer = 193.111.137.199
@Alternate Data Stream - 129 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:07BF512B

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Обратите внимание, что после выполнения скрипта необходимо в настройках DNS прописать вручную или DNS-cервера провайдера или введите google public DNS:
предпочитаемый: 8.8.8.8
альтернативный: 8.8.4.4

Подробнее как это сделать: http://forum.avast.com/index.php?topic=128395.msg957993#msg957993

  1. После выполнения скрипта и перезагрузки скачайте утилиту Junkware Removal Tool
  • Запустите программу от имени администратора.
    Обратите внимание, что перед началом работы необходимо закрыть браузер, Во время проверки он может временно скрыть рабочий стол, или показать окно проводника. Однако все эти действия являются нормальными в то время как Junkware Removal Tool (JRT) работает на вашей системе, так что вам не придется беспокоиться о них.
  • Когда программа завершит работу, будет произведен отчет, прикрепите его в следующем сообщении.
19

банеры пропали.на сайт касперского заходит.адреса серверов заново водить непришлось!!

20

enjoy :wink: