Реклама в браузерах

[Valevis]

Добрый день!
В браузере Microsoft Edge самопроизвольно появляются окна с рекламой. В браузере Google chrom появились стартовые страницы : httрs://mail.ru/ и httр://www.mysites123.com/?type=hp&ts=1448956819&z=e28b1ecbd5f76e01b641e36gd zaz7b9tfwfqfb4g6t&from=amt&uid=toshibaxmk3259gsxp_ 71mbd3bvbxx71mbd3bvb

[Info_bot]

Уважаемый(ая) Valevis, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

Выполните скрипт в AVZ:

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe');
  StopService('Ghostery Storage Server');
  QuarantineFile('C:\Program Files\NetPanel\IEHelper.dll','');
  QuarantineFile('C:\Users\Олександр\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8FFBJGZO\CommunicatorPlugin_401.exe','');
  QuarantineFile('c:\program files (x86)\ghostery storage server\ghstore.exe','');
  DeleteFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe','32');
  DeleteFile('C:\WINDOWS\system32\Tasks\hitsnews','64');
  DeleteFile('C:\Users\Олександр\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8FFBJGZO\CommunicatorPlugin_401.exe','32');
  DeleteFile('C:\WINDOWS\system32\Tasks\{36B720FD-CF36-4889-9528-94E35ED92813}','64');
  DeleteFile('C:\Program Files\NetPanel\IEHelper.dll','32');
  ExecuteFile('schtasks.exe', '/delete /TN "hitsnews" /F', 0, 15000, true); 
  DeleteService('Ghostery Storage Server');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Valevis]

Все сделал

[mrak74]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Valevis]

Все сделал

[mrak74]

Вы очистку Adwcleaner-ом делали ? Сомневаюсь, что Вам как минимум

Знайдено настройки Chromium: [C:\Users\Олександр\AppData\Local\Google\Chrome\Use r Data\Default\Secure Preferences] - hxxp://www.mysites123.com/?

этот поисковик нужен, да и некоторые расширения в chrome. Почистите Adwcleaner-ом, покажите лог очистки, сразу же сделайте новый лог FRST прежний к тому моменту будет не актуален.

[Valevis]

очистку Adwcleaner-ом сделал. Написал, что проблем нет и очистку не делал только перегрузился. Что-то еще делать?

[mrak74]

Отчет после удаления прикрепите.

Отчет Adwcleaner-а

+ Логи Farbar Recovery Scan Tool : FRST.txt и Addition.txt.

[Valevis]

все сделал

[mrak74]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-278803108-4137564785-3077710558-1000\...\Run: [AdobeBridge] => [X]
  HKU\S-1-5-21-278803108-4137564785-3077710558-1000\...\MountPoints2: {a3f9396b-71ee-11e1-9fb3-78843cf7f3e9} - "F:\Launcher.exe" 
  HKU\S-1-5-21-278803108-4137564785-3077710558-1000\...\MountPoints2: {dcd07849-9b56-11e6-9c55-78843cf7f3e9} - "F:\Launcher.exe" 
  ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  -> No File
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  Toolbar: HKU\S-1-5-21-278803108-4137564785-3077710558-1000 -> No Name - {7CA09C56-E75D-4C4D-9F65-522019B223F7} -  No File
  Edge Extension: (НАЗВА) -> hdokiejnpimakedhajhdlcegeplioahd_LastPassLastPassFreePasswordManager_qq0fmhteeht3j => C:\Program Files\WindowsApps\LastPass.LastPassFreePasswordManager_4.1.29.0_neutral__qq0fmhteeht3j [2016-10-11]
  CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\ppGoogleNaClPluginChrome.dll => No File
  CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\pdf.dll => No File
  CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\gcswf32.dll => No File
  CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_235.dll => No File
  CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll => No File
  CHR Plugin: (Java Deployment Toolkit 6.0.220.4) - C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll => No File
  CHR Plugin: (Java(TM) Platform SE 6 U22) - C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll => No File
  CHR Plugin: (Google Earth Plugin) - C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll => No File
  CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
  CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll => No File
  CHR HKLM\...\Chrome\Extension: [pnlccmojcmeohlpggmfnbbiapkmbliob] - C:\Program Files (x86)\Siber Systems\AI RoboForm\Chrome\rf-chrome.crx [2014-02-20]
  CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pnlccmojcmeohlpggmfnbbiapkmbliob] - C:\Program Files (x86)\Siber Systems\AI RoboForm\Chrome\rf-chrome.crx [2014-02-20]
  Task: {31B27B00-B8B5-4296-8B05-B9F0FE4EC162} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
  Task: {3DABA3FD-DFA9-42EE-B977-C755C82D3200} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
  Task: {5FEF926F-C1C9-4AA1-BCD8-A33B35AB9DFA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
  Task: {620306E4-7C6A-4500-A95B-6FC06F000B5D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
  Task: {7B7D66F6-E255-4A0D-BF8D-89CED6D55712} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
  Task: {7D8CADC0-D007-4751-A354-23C998BE967F} - \{36B720FD-CF36-4889-9528-94E35ED92813} -> No File <==== ATTENTION
  Task: {9F74548C-9262-4A23-956C-3EFB88CB4F32} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
  Task: {A06E9C0E-41AA-4562-899A-1F6522CA2845} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
  Task: {A9A70E3E-6053-4D6D-A279-4E62DC5535C5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
  Task: {B75D4AA1-00E8-4A93-A181-99820CDCEC81} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
  Task: {F2FB16BC-8837-45C8-920B-374EF05F5775} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
  Task: {FD7351E7-FDAA-462F-8CFE-10A19C5B7F6B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTIONAlternateDataStreams: C:\Users\Олександр:id [66]
  AlternateDataStreams: C:\ProgramData\TEMP:2A66F1C3 [374]
  AlternateDataStreams: C:\ProgramData\TEMP:2CB9631F [134]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:2A66F1C3 [374]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:2CB9631F [134]
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Valevis]

Отправляю файл

[mrak74]

Что с проблемой ?

[Valevis]

Проблема решилась. Большое спасибо за помощь.

[mrak74]

Пожалуйста !!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены