Словил эту гадость

[Zero85]

Словил эту гадость

Здравствуйте, пару дней назад словил эту гадость. Пробовал удалить сам с помощью Касперского и AdwCleaner, но это давало лишь временный результат, на одну перезагрузку без рекламы. Во вложении прикрепил образ автозагрузки из uvs.

п.с. Как думаете эта штука ворует пароли или это всего лишь надоедливая реклама?

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SD-STEAM.INFO

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNLBEJMCCBHKNCGOKJCMGHPFLOAAJCFFJ%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка,
----------
далее, сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

 

[Zero85]

safety спасибо, вроде бы помогло (после перезагрузки и потом выключения/включения компа эта фигня пока не появлялась). А что думаете насчёт последствий её пребывания на моём компе, стоит ли в панике переустанавливать систему и менять пароли или достаточно проверить систему каким-нибудь drweb cureit?

 

[Гризлик]

Скопируйте код ниже в Блокнот

Task: {FDA6A427-F210-41D4-AA9E-1AB317432589} - \r -> No File <==== ATTENTION
2016-08-29 10:08 - 2016-08-29 10:08 - 00011264 _____ () C:\Users\r\AppData\Local\Temp\nsg6822.tmp\System.dll
2016-08-29 10:08 - 2016-08-29 10:08 - 00008704 _____ () C:\Users\r\AppData\Local\Temp\nsg6822.tmp\newadvsplash.dll
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124]
EmptyTemp:
Reboot:

Сохраните его как файл fixlist.txt в папку с программой Farbar Recovery Scan Tool. Запустите Farbar Recovery Scan Tool и нажмите Fix.
После чего откроется файл лога fixlog.txt выложите его сюда

 

[Zero85]

Скопируйте код ниже в Блокнот

Не знаю, может просто совпадение, но после этого при загрузке снова автоматом запустился браузер с открытой страницей zodiac-game.info

 

[safety]

сделайте новую проверку в FRST

 

[Zero85]

сделайте новую проверку в FRST

Сделал. Правда когда после рекомендованного Гризлик у меня снова начал автозапускаться браузер с этой рекламой, я повторно выполнил скрипт который вы мне рекомендовали раньше, реклама опять пропала. Но получается что эта дрянь всё-равно где-то в системе осталась, не могу понять?

 

[safety]

судя по новому логу FRST все ок, нет записей о восстановлении ключа запуска этой рекламной страницы.

далее,
закрываем уязвимости
обновляем программы,
наблюдаем за проблемой
http://www.tehnari.ru/f150/t83677/