Программа-реклама DNS-unlocker. Характерна тем, что проявляется она только тогда когда есть определенный контент в браузере. Может быть активна в браузерах Internet Explorer, Mozilla Firefox, Google Chrome. В нашем случае проявления заметны только в браузере Google Chrome.
При переходе на какой ни будь сайт как мне показалось продающий что нибудь справа появляется окно с рекламой при этом его можно спокойно закрыть. И ни чего страшного но напрягает. Предусмотрены даже настройки в которых можно настроить режим отображения данного окна с рекламой. Правда совсем от него отказаться не получится.
Задача понятна. Сделать так чтобы эта зараза ни когда не появлялась.
0. Проверяем на вирусы
1. Проверяем список запущенных процессов в системе
2. Проверяем автозапуск системы
3. Очищаем содержимое временных каталогов
4. Удаляем программы ненужные в панели управления - программы и компоненты
5. Ищем в папке Programm Files подозрительные элементы и удаляем их
6. Ищем в реестре ветки с подобными именами
7. Ищем по содержанию файлов ключевые слова такие как dns-unlocker
8.

Продолжение следует.... Пока проблема не решена

Итак ручное удаление файлов не помогло. Переходим к лечению разнообразными утилитами. Я решил начать с

Kaspersky Virus Removal Tool

Проверка дала некоторые результаты вот собственно они

10 объектов достаточно не мало. Все они были помечены на удаление после чего компьютер перезагрузился. Но вопреки ожиданиям проблему это не решило. Открываем любой браузер заходим на любой сайт и через некоторое время видим справа на экране окно с рекламой и подписью внизу dns-unlocker. При этом если кликнуть в любой части страницы даже не по ссылке то открывается новая вкладка с ссылкой на какой нибудь сайт. Такое поведение очень напоминает использование javascript скорее всего вирус подменяет какие то библиотеки...Но это все рассуждения

Идем дальше

Dr.Web CureIt

Проверка результата не дала

Угроз не обнаружено. Проблема не решена

Начинаем проверять другой программой

AVZ 4.45

Проверка результата не дала. Если быть точнее что то было удалено, но проблему это не решило

Далее переходим к программе

HiJackThis

Несколько подозрительных записей были удалены. Но проблему это так и не решило

Далее переходим к Malwarebytes' Anti-Malware

Вот тут результаты были на лицо

Часть лога только с результатами

- <path>HKU\S-1-5-21-3589986375-4161854678-1461028428-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{DEDAF650-12B8-48F5-A843-BBA100716106}</path>

<vendor>PUP.Optional.SweetIM</vendor>

<path>HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{72A6AB0F-2FA8-4C73-9FCB-1E62A608F001}</path>

<vendor>PUP.Optional.TidyNetwork</vendor>

<path>HKLM\SOFTWARE\{1146AC44-2F03-4431-B4FD-889BC837521F}</path>

<vendor>PUP.Optional.SuperOptimizer</vendor>

<path>HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}</path>

<vendor>PUP.Optional.SuperOptimizer</vendor>

<path>HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\dkmjljdbbgogihjcapfhgkonfmccbffp</path>

<vendor>PUP.Optional.eShield</vendor>

<path>HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\DRAGDROP\{70BC1CDB-0744-4172-BDA0-B5A487D00C3A}</path>

<vendor>PUP.Optional.TidyNetwork</vendor>

<path>HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Optscan</path>

<vendor>PUP.Optional.OptScan</vendor>

<path>HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Superclean</path>

<vendor>PUP.Optional.Superclean</vendor>

<path>HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{1146AC44-2F03-4431-B4FD-889BC837521F}{22134214}</path>

<vendor>PUP.Optional.MultiPlug</vendor>

<path>HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{6ca217a5}</path>

<vendor>PUP.Optional.MultiPlug</vendor>

<path>HKLM\SOFTWARE\POLICIES\GOOGLE\UPDATE</path>

<vendor>PUM.Security.Hijack.DisableChromeUpdates</vendor>

<hash>2057c98dacdf54e2416be4af2ed69c64</hash>

<path>HKU\S-1-5-18\SOFTWARE\APPDATALOW\{1146AC44-2F03-4431-B4FD-889BC837521F}</path>

<vendor>PUP.Optional.SuperOptimizer</vendor>

<path>HKU\S-1-5-21-3589986375-4161854678-1461028428-1000\SOFTWARE\TNT2</path>

<vendor>PUP.Optional.TNT</vendor>

<path>HKU\S-1-5-21-3589986375-4161854678-1461028428-1000\SOFTWARE\APPDATALOW\{1146AC44-2F03-4431-B4FD-889BC837521F}</path>

<vendor>PUP.Optional.SuperOptimizer</vendor>

<path>HKU\S-1-5-21-3589986375-4161854678-1461028428-1000\SOFTWARE\OPTIMIZER PRO</path>

<vendor>PUP.Optional.OptimizerPro</vendor>

<hash>bfb8df772c5f2511faadd9eef90bb44c</hash>

<path>HKU\S-1-5-21-3589986375-4161854678-1461028428-1000\SOFTWARE\SUPER OPTIMIZER</path>

<vendor>PUP.Optional.SuperOptimizer</vendor>

<path>HKLM\SOFTWARE\POLICIES\GOOGLE\UPDATE</path>

<valuename>DisableAutoUpdateChecksCheckboxValue</valuename>

<vendor>PUM.Security.Hijack.DisableChromeUpdates</vendor>

<hash>2057c98dacdf54e2416be4af2ed69c64</hash>

<path>HKU\S-1-5-21-3589986375-4161854678-1461028428-1000\SOFTWARE\OPTIMIZER PRO</path>

<valuename>AdsBuyNowURL</valuename>

<vendor>PUP.Optional.OptimizerPro</vendor>

<valuedata>http://www.safeshopgate.com/r?s=121002330&g=C551A3CB-F027-4D27-BA0E-F96444F71032</valuedata>

<hash>bfb8df772c5f2511faadd9eef90bb44c</hash>

<path>HKU\S-1-5-21-3589986375-4161854678-1461028428-1000\SOFTWARE\SUPER OPTIMIZER</path>

<valuename>SetupName</valuename>

<vendor>PUP.Optional.SuperOptimizer</vendor>

<valuedata>C:\Users\MRT01\AppData\Local\Temp\bStbRTr7Oo2NbKhxHfA\476\SuperOptimizer.exe</valuedata>

<path>HKU\S-1-5-21-3589986375-4161854678-1461028428-1000\SOFTWARE\SUPER OPTIMIZER</path>

<valuename>AdsBuyNowURL</valuename>

<vendor>PUP.Optional.SuperOptimizer</vendor>

<valuedata>http://supc13.superpctools.revenuewire.net/spu/register?221001838_903186F0-132B-466C-9DDB-25941147D83B</valuedata>

<path>HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\ABOUTURLS</path>

<vendor>PUP.Optional.eShield</vendor>

<valuedata>http://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={64D5590B-D4B8-4D85-A761-E8CAA19CF6EC}&i=</valuedata>

<baddata>http://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={64D5590B-D4B8-4D85-A761-E8CAA19CF6EC}&i=</baddata>

<gooddata>www.google.com</gooddata>

<hash>ea8d70e6395279bdbac77d1630d56f91</hash>

<path>C:\ProgramData\15389284748043541833</path>

<vendor>PUP.Optional.MultiPlug.Gen</vendor>

<path>E:\Мои документы\Optimizer Pro</path>

<vendor>PUP.Optional.OptimizerPro</vendor>

<path>C:\Program Files\Optimizer Pro 3.99</path>

<vendor>PUP.Optional.OptimizerPro</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\_metadata</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\$Recycle.Bin\S-1-5-21-3589986375-4161854678-1461028428-1000\$R2Y4GAR\380984.ftf</path>

<vendor>PUP.Optional.PCOptimizerPro</vendor>

<path>C:\$Recycle.Bin\S-1-5-21-3589986375-4161854678-1461028428-1000\$RRG0JV4\131542.ftf</path>

<vendor>PUP.Optional.DNSUnlocker.BrwsrFlsh</vendor>

<path>C:\ProgramData\15389284748043541833\c3fe0a5e6ab33039a4e34b27090d8547.ini</path>

<vendor>PUP.Optional.MultiPlug.Gen</vendor>

<path>E:\Мои документы\Optimizer Pro\CookiesException.txt</path>

<vendor>PUP.Optional.OptimizerPro</vendor>

<path>C:\Windows\Tasks\Optscan.job</path>

<vendor>PUP.Optional.OptScan</vendor>

</file>

- <file>

<path>C:\Windows\Tasks\Superclean.job</path>

<vendor>PUP.Optional.Superclean</vendor>

<action>success</action>

<path>C:\Users\MRT01\AppData\Roaming\Mozilla\Firefox\Profiles\mh8vf6wf.default\searchplugins\yahoo-zugo.xml</path>

<vendor>PUP.Optional.Zugo</vendor>

<hash>73044016dead989efedb756c758f0ef2</hash>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\background.js</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\background.html</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\eshield.nmf</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\eShield_128.png</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\eShield_16.png</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\eShield_48.png</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\eshield_arm.nexe</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\eshield_x86_32.nexe</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\eshield_x86_64.nexe</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\manifest.json</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\newtab.html</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\newtab.js</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\off.png</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\on.png</path>

<vendor>PUP.Optional.eShield</vendor>

<path>C:\Users\MRT01\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp\1.5_0\_metadata\verified_contents.json</path>

<vendor>PUP.Optional.eShield</vendor>

второй ПК

<path>C:\Program Files (x86)\LiveUpdateWPP\LiveUpdateWPP.exe</path>

<vendor>PUP.Optional.WebProtectPlus.A</vendor>

<action>delete-on-reboot</action>

</process>

- <key>

<path>HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\LiveUpdateWPP Manager</path>

<vendor>PUP.Optional.WebProtectPlus.A</vendor>

<action>success</action>

</key>

- <key>

<path>HKLM\SOFTWARE\WOW6432NODE\LiveUpdateWPP</path>

<vendor>PUP.Optional.WebProtector.A</vendor>

<action>success</action>

</key>

- <folder>

<path>C:\Program Files (x86)\LiveUpdateWPP</path>

<vendor>PUP.Optional.WebProtector.A</vendor>

<action>delete-on-reboot</action>

</folder>

- <file>

<path>C:\Program Files (x86)\LiveUpdateWPP\LiveUpdateWPP.exe</path>

<vendor>PUP.Optional.WebProtectPlus.A</vendor>

<action>delete-on-reboot</action>

</file>

Итак браузер Google Chrome был избавлен от проблемы. Но при этом Internet Explorer все равно продолжал показывать рекламу.

После того как был очищен кэш Internet Explorer все стало хорошо ))))

Поиск по этому блогу

Компьютерщик

DNS-unlocker. Очень зловредная программа

Kaspersky Virus Removal Tool

Dr.Web CureIt

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Комментарии в PowerShell

PowerShell. Коммандлет для паузы в выполнении скрипта Wait-Event

Первоначальная настройка МФУ Kyocera FS-1035MFP для печати по сети