-
Junior Member
- Вес репутации
- 34
Реклама в браузерах + замена ярлыков на рабочем столе
Появилась реклама во всех браузерах. Помимо этого в каждом браузере появились свои изменения. Например в Хроме изменилась страница открывающаяся при старте браузера, в Опере при переходе на новую страницу и первом нажатии в любую ее точку открывается новая вкладка (иногда сразу две) и антивирус начинает захлебываться от вирусов, а в Интернет Эксплорере ничего не изменилось кроме парочки новых окон с рекламой. Также на рабочем столе есть папка с ярлыками установленных программ и некоторые ярлыки стали скрытыми, а на их месте появились ярлыки с иконкой оперы и например вот таким расположением в свойствах:
C:\Users\Artem\AppData\Roaming\Browsers\exe.rehcnu al2tceffessam.bat "http://2knl.org/?src=hp4&subid1=feb"
virusinfo_syscheck.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) pregnant snail, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
TerminateProcessByName('c:\users\artem\appdata\local\microsoft\windows\toolbar.exe');
TerminateProcessByName('c:\users\artem\appdata\roaming\00000000-1424985528-0000-0807-060504030201\nsw62df.tmpfs');
TerminateProcessByName('c:\users\artem\appdata\roaming\00000000-1424985528-0000-0807-060504030201\jnsma0cf.tmp');
QuarantineFile('c:\users\artem\appdata\local\microsoft\windows\toolbar.exe', '');
QuarantineFile('c:\users\artem\appdata\roaming\00000000-1424985528-0000-0807-060504030201\nsw62df.tmpfs', '');
QuarantineFile('c:\users\artem\appdata\roaming\00000000-1424985528-0000-0807-060504030201\jnsma0cf.tmp', '');
DeleteFile('c:\users\artem\appdata\roaming\00000000-1424985528-0000-0807-060504030201\jnsma0cf.tmp', '32');
DeleteFile('c:\users\artem\appdata\roaming\00000000-1424985528-0000-0807-060504030201\nsw62df.tmpfs', '32');
DeleteFile('c:\users\artem\appdata\local\microsoft\windows\toolbar.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\SystemScript', '64');
DeleteService('qrnfd_1_10_0_9');
DeleteService('BAPIDRV');
DeleteFileMask('c:\users\artem\appdata\roaming\00000000-1424985528-0000-0807-060504030201', '*', true);
DeleteDirectory('c:\users\artem\appdata\roaming\00000000-1424985528-0000-0807-060504030201');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' LNK.
-
-
Junior Member
- Вес репутации
- 34
-
Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
-
-
Junior Member
- Вес репутации
- 34
Стартовая страница с рекламой в хроме больше не появляется. В остальном без изменений.
AdwCleaner[S3].txt
ClearLNK-03.03.2015_17-39.log
-
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 34
-
Вопрос: есть почта на Mail.Ru, стартовые страницы, поиск, утилиты, расширения от Mail.Ru используете?
-
-
Junior Member
- Вес репутации
- 34
-
Сделайте аппаратный сброс настроек роутера кнопкой reset, настройте заново, смените пароль на веб-интерфейс роутера на сложный.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3592866971-2377362381-2185820946-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO-x32: No Name -> {2e32cfe5-df92-4ae5-b0be-609ed0df74a6} -> No File
CHR StartupUrls: Default -> "hxxp://www.search.ask.com/?o=APN11459&gct=hp&d=488-209&v=n12521-352&t=4", "hxxp://www.search.ask.com/?o=APN11459&gct=hp&d=488-209&v=a12834-352&t=4", "hxxp://mail.ru/cnt/10445?gp=openpart3", "hxxp://www.mystartsearch.com/?type=hp&ts=1424950302&from=cmi&uid=SAMSUNGXSP6003H_0488J1CTC07201", "hxxp://www.mystartsearch.com/?type=hppp&ts=1424950345&from=cmi&uid=SAMSUNGXSP6003H_0488J1CTC07201"
CHR HKLM-x32\...\Chrome\Extension: [bgomnbpelpcdicbnicimghcecemjpbef] - https://clients2.google.com/service/update2/crx
StartMenuInternet: (HKLM) Opera - G:\Program files\Opera\Opera.exe http://www.mystartsearch.com/?type=sc&ts=1424950302&from=cmi&uid=SAMSUNGXSP6003H_0488J1CTC07201
015-02-26 22:29 - 2015-02-26 22:29 - 00628496 _____ (CMI Limited) C:\Users\Artem\AppData\Local\nsh7E0C.tmp
2015-02-26 22:25 - 2015-02-26 22:25 - 00000000 ____D () C:\Users\Artem\AppData\Roaming\00000000-1424989508-0000-0807-060504030201
2015-02-26 21:36 - 2015-02-26 21:36 - 00301608 _____ (VuuPC Limited) C:\Users\Artem\AppData\Local\nsx9C6.tmp
2014-10-11 12:23 - 2014-10-11 12:23 - 0627560 _____ (CMI Limited) C:\Users\Artem\AppData\Local\nsl40E7.tmp
2015-02-26 21:20 - 2015-03-01 16:53 - 00000000 ____D () C:\Users\Artem\AppData\Local\00000000-1424985602-0000-0807-060504030201
2014-10-11 11:12 - 2014-10-11 11:12 - 0000001 _____ () C:\Users\Artem\AppData\Roaming\smw_inst
Task: {C1C01A6C-2D25-497F-939F-52CA9B7957C8} - \SystemScript No Task File <==== ATTENTION
CMD: ipconfig /flushdns
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
-
-
Junior Member
- Вес репутации
- 34
Извиняюсь за задержку. К сожалению у меня не будет доступа к ПК до 9 - 10 марта. Прошу пока не закрывать данную тему если это возможно.
-
Junior Member
- Вес репутации
- 34
С интернет эксплорером и хромом теперь все в порядке, а в опере все по старому.
Fixlog.txt
-
Расширение AdBlock удалите и переустановите с офсайта, подменили, похоже.
-
-
Junior Member
- Вес репутации
- 34
-
Новый лог Farbar Recovery Scan Tool сделайте. Предварительно свежую версию программы по ссылке скачайте.
-
-
Junior Member
- Вес репутации
- 34
-
Выполните скрипт в AVZ:
Код:
begin
QuarantineFileF('C:\Users\Artem\AppData\Roaming\Opera Software\Opera Stable\Extensions\gighmmpiobklfepjocnamgkkbiglidom', '*', true,'', 0, 0, '', '', '');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
- - - - -Добавлено - - - - -
Да, Opera-то какая, Opera 12.17? В ней по логам ничего не увидишь, отключите все расширения и проверьте результат.
-
-
Junior Member
- Вес репутации
- 34
Да, опера 12.17 и все расширения удалил когда просили удалить аддблок
- - - - -Добавлено - - - - -
Тогда может просто снести ее? Только так чтобы ничего не осталось. Если до этого дойдет буду благодарен за совет как это сделать.
-
Удалите штатно через панель управления, затем поиском все папки с именем, содержащим Opera находите и удаляете.
-