Добрый вечер! При переходе по ссылкам в браузере попадаешь на другие страницы с рекламой и другими не нужными адресами.
Добрый вечер! При переходе по ссылкам в браузере попадаешь на другие страницы с рекламой и другими не нужными адресами.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Rabbit62, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe'); TerminateProcessByName('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe'); StopService('ReimageRealTimeProtector'); QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe', ''); QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\93D20AAC-F46D-48EF-8BBB-1C4210F13F9F.exe', ''); QuarantineFile('C:\Users\BOSS\AppData\Local\UpdateAdmin\UpdateAdmin.exe', ''); QuarantineFile('C:\PROGRA~3\266753ab\70805d5e.dll', ''); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe', '32'); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe', '32'); DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\93D20AAC-F46D-48EF-8BBB-1C4210F13F9F.exe', '32'); DeleteFile('C:\Users\BOSS\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '32'); DeleteFile('C:\PROGRA~3\266753ab\70805d5e.dll', '32'); DeleteService('ReimageRealTimeProtector'); DeleteFileMask('c:\program files\reimage', '*', true); DeleteFileMask('c:\program files (x86)\common files\appdownloads', '*', true); DeleteFileMask('c:\users\boss\appdata\local\updateadmin', '*', true); DeleteFileMask('c:\progra~3\266753ab', '*', true); DeleteDirectory('c:\program files\reimage'); DeleteDirectory('c:\program files (x86)\common files\appdownloads'); DeleteDirectory('c:\users\boss\appdata\local\updateadmin'); DeleteDirectory('c:\progra~3\266753ab'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "93D20AAC-F46D-48EF-8BBB-1C4210F13F9F" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "A93D20AAC-F46D-48EF-8BBB-1C4210F13F9F" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ReimageUpdater" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "UpdateAdmin" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{9FD4AD8B-28DC-9404-0B2E-BC97B73BE44F}" /F', 0, 15000, true); ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'AppDownloads'); ExecuteSysClean; ExecuteRepair(3); ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
Добрый вечер! Все манипуляции выполнила.
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования, только если используете программы от этого портала, уберите галочки на вкладках Папки (Folders) и Реестр (Registry) со всех пунктов, где упоминается Mail.Ru.
Установите в пункте меню "Настройки" (Settings) галочку "Сброс политик Chrome" .
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
WBR,
Vadim
Проблемы остались. Постоянно появляются баннеры с рекламой на вкладках и продолжается переадресация на страницы с рекламой, в Chrome при попытке открыть настройки с расширениями появляется страница: about:blank. Прикрепила запрошенный файл отчета AdwCleaner[C1].txt, но после перезагрузки открылся AdwCleaner[C2].txt, так что прикрепляю еще его
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Пересылаю запрошенные файлы
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CMD: powershell -command enable-computerrestore -drive \"C:\\\" CreateRestorePoint: SearchScopes: HKU\S-1-5-21-3875636235-2918887575-2500174473-1000 -> {200C36B1-309D-43FF-B2D3-7D415F3E4F80} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11187 SearchScopes: HKU\S-1-5-21-3875636235-2918887575-2500174473-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BE81CBC53-3482-4E16-ACC6-B48F44DEEC6A%7D&gp=801943 Toolbar: HKU\S-1-5-21-3875636235-2918887575-2500174473-1000 -> No Name - {1452AA50-1A89-41F4-B7C2-DC14C6958BEA} - No File FF user.js: detected! => C:\Users\BOSS\AppData\Roaming\Mozilla\Firefox\Profiles\3v9odk6y.default\user.js [2016-03-23] CHR Extension: (No Name) - C:\Users\BOSS\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-03-11] CHR Extension: (Помощник Online) - C:\Users\BOSS\AppData\Local\Google\Chrome\User Data\Default\Extensions\kgkbakedaeiiieiipomfpgcfbfdphmhl [2016-03-13] CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka CHR HKU\S-1-5-21-3875636235-2918887575-2500174473-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3875636235-2918887575-2500174473-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3875636235-2918887575-2500174473-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (The Safe Surfing) - C:\Users\BOSS\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-03-11] Task: {3F827D5F-B140-4D0C-9640-42547A5C7EEE} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION Task: {64AB9800-0B67-46FD-9BAC-6326F8E6DC5F} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION Task: {65EFC7FC-46C1-43F1-940C-E004C9411C03} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION Task: {D38E3B07-9498-4ECD-8426-FFC7BBD99E1A} - \SafeBrowser -> No File <==== ATTENTION EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемами.
WBR,
Vadim
Спасибо большое. Вроде бы все работает нормально, вкладка расширения в Chrome открывается и пока никаких баннеров. Еще раз спасибо.
Включите детектирование потенциально нежелательных программ в Kaspersky Total Security 2016.
Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Rabbit62, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
