Технический форум

Технический форум (http://www.tehnari.ru/index.php)
-   Безопасность (http://www.tehnari.ru/forumdisplay.php?f=35)
-   -   Словил эту гадость (http://www.tehnari.ru/showthread.php?t=248458)

Zero85 29.08.2016 09:32
Словил эту гадость
 
Вложений: 1
Здравствуйте, пару дней назад словил эту гадость. Пробовал удалить сам с помощью Касперского и AdwCleaner, но это давало лишь временный результат, на одну перезагрузку без рекламы. Во вложении прикрепил образ автозагрузки из uvs.

п.с. Как думаете эта штука ворует пароли или это всего лишь надоедливая реклама?

safety 29.08.2016 10:20
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SD-STEAM.INFO

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNLBEJMCCBHKNCGOKJCMGHPFLOAAJCFFJ%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка,
----------
далее, сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

Zero85 29.08.2016 11:28
Вложений: 2
safety спасибо, вроде бы помогло (после перезагрузки и потом выключения/включения компа эта фигня пока не появлялась). А что думаете насчёт последствий её пребывания на моём компе, стоит ли в панике переустанавливать систему и менять пароли или достаточно проверить систему каким-нибудь drweb cureit?

Гризлик 29.08.2016 11:59
Скопируйте код ниже в Блокнот
Код:
Task: {FDA6A427-F210-41D4-AA9E-1AB317432589} - \r -> No File <==== ATTENTION
2016-08-29 10:08 - 2016-08-29 10:08 - 00011264 _____ () C:\Users\r\AppData\Local\Temp\nsg6822.tmp\System.dll
2016-08-29 10:08 - 2016-08-29 10:08 - 00008704 _____ () C:\Users\r\AppData\Local\Temp\nsg6822.tmp\newadvsplash.dll
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124]
EmptyTemp:
Reboot:
Сохраните его как файл fixlist.txt в папку с программой Farbar Recovery Scan Tool. Запустите Farbar Recovery Scan Tool и нажмите Fix.
После чего откроется файл лога fixlog.txt выложите его сюда

Zero85 29.08.2016 12:18
Вложений: 1
Цитата:
Сообщение от Гризлик (Сообщение 2410876)
Скопируйте код ниже в Блокнот
Не знаю, может просто совпадение, но после этого при загрузке снова автоматом запустился браузер с открытой страницей zodiac-game.info

safety 29.08.2016 12:38
сделайте новую проверку в FRST

Zero85 29.08.2016 13:35
Вложений: 2
Цитата:
Сообщение от safety (Сообщение 2410883)
сделайте новую проверку в FRST
Сделал. Правда когда после рекомендованного Гризлик у меня снова начал автозапускаться браузер с этой рекламой, я повторно выполнил скрипт который вы мне рекомендовали раньше, реклама опять пропала. Но получается что эта дрянь всё-равно где-то в системе осталась, не могу понять?

safety 29.08.2016 13:50
судя по новому логу FRST все ок, нет записей о восстановлении ключа запуска этой рекламной страницы.

далее,
закрываем уязвимости
обновляем программы,
наблюдаем за проблемой
http://www.tehnari.ru/f150/t83677/


Часовой пояс GMT +4, время: 06:30.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.