Словил эту гадость

Zero85 · 29.08.2016, 09:32

Здравствуйте, пару дней назад словил эту гадость. Пробовал удалить сам с помощью Касперского и AdwCleaner, но это давало лишь временный результат, на одну перезагрузку без рекламы. Во вложении прикрепил образ автозагрузки из uvs.

п.с. Как думаете эта штука ворует пароли или это всего лишь надоедливая реклама?

safety · 29.08.2016, 10:20

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SD-STEAM.INFO

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNLBEJMCCBHKNCGOKJCMGHPFLOAAJCFFJ%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка,
----------
далее, сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

Zero85 · 29.08.2016, 11:28

safety спасибо, вроде бы помогло (после перезагрузки и потом выключения/включения компа эта фигня пока не появлялась). А что думаете насчёт последствий её пребывания на моём компе, стоит ли в панике переустанавливать систему и менять пароли или достаточно проверить систему каким-нибудь drweb cureit?

Гризлик · 29.08.2016, 11:59

Скопируйте код ниже в Блокнот

Код:

Task: {FDA6A427-F210-41D4-AA9E-1AB317432589} - \r -> No File <==== ATTENTION
2016-08-29 10:08 - 2016-08-29 10:08 - 00011264 _____ () C:\Users\r\AppData\Local\Temp\nsg6822.tmp\System.dll
2016-08-29 10:08 - 2016-08-29 10:08 - 00008704 _____ () C:\Users\r\AppData\Local\Temp\nsg6822.tmp\newadvsplash.dll
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124]
EmptyTemp:
Reboot:

Сохраните его как файл fixlist.txt в папку с программой Farbar Recovery Scan Tool. Запустите Farbar Recovery Scan Tool и нажмите Fix.
После чего откроется файл лога fixlog.txt выложите его сюда

Zero85 · 29.08.2016, 12:18

Цитата:

Сообщение от Гризлик

Скопируйте код ниже в Блокнот

Не знаю, может просто совпадение, но после этого при загрузке снова автоматом запустился браузер с открытой страницей zodiac-game.info

safety · 29.08.2016, 12:38

сделайте новую проверку в FRST

Zero85 · 29.08.2016, 13:35

Цитата:

Сообщение от safety

сделайте новую проверку в FRST

Сделал. Правда когда после рекомендованного Гризлик у меня снова начал автозапускаться браузер с этой рекламой, я повторно выполнил скрипт который вы мне рекомендовали раньше, реклама опять пропала. Но получается что эта дрянь всё-равно где-то в системе осталась, не могу понять?

safety · 29.08.2016, 13:50

судя по новому логу FRST все ок, нет записей о восстановлении ключа запуска этой рекламной страницы.

далее,
закрываем уязвимости
обновляем программы,
наблюдаем за проблемой
http://www.tehnari.ru/f150/t83677/

29.08.2016, 10:20	#2 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://SD-STEAM.INFO delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNLBEJMCCBHKNCGOKJCMGHPFLOAAJCFFJ%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, ---------- далее, сделайте проверку в FRST http://www.tehnari.ru/f150/t245622/

29.08.2016, 11:59	#4 (permalink)
Гризлик Мимо проходил Регистрация: 06.04.2008 Сообщений: 13,130 Сказал(а) спасибо: 21 Поблагодарили 18 раз(а) в 5 сообщениях Репутация: 15356	Скопируйте код ниже в Блокнот Код: Task: {FDA6A427-F210-41D4-AA9E-1AB317432589} - \r -> No File <==== ATTENTION 2016-08-29 10:08 - 2016-08-29 10:08 - 00011264 _____ () C:\Users\r\AppData\Local\Temp\nsg6822.tmp\System.dll 2016-08-29 10:08 - 2016-08-29 10:08 - 00008704 _____ () C:\Users\r\AppData\Local\Temp\nsg6822.tmp\newadvsplash.dll AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [149] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [149] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124] EmptyTemp: Reboot: Сохраните его как файл fixlist.txt в папку с программой Farbar Recovery Scan Tool. Запустите Farbar Recovery Scan Tool и нажмите Fix. После чего откроется файл лога fixlog.txt выложите его сюда

29.08.2016, 09:32
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Если решение проблемы затянулось, можете пролистать аналогичные темы Подцепил гадость.. синяя гадость

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

29.08.2016, 12:38	#6 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	сделайте новую проверку в FRST

29.08.2016, 13:50	#8 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	судя по новому логу FRST все ок, нет записей о восстановлении ключа запуска этой рекламной страницы. далее, закрываем уязвимости обновляем программы, наблюдаем за проблемой http://www.tehnari.ru/f150/t83677/