Доброго времени суток , реклама в браузерах просто атаковала, при наведении на фотки, вместо них появляется реклама, со всех сторон браузеров всплывают окна, при нажатии на ссылки грузятся совершенно левые сайты. Прошу помощи!
Доброго времени суток , реклама в браузерах просто атаковала, при наведении на фотки, вместо них появляется реклама, со всех сторон браузеров всплывают окна, при нажатии на ссылки грузятся совершенно левые сайты. Прошу помощи!
Уважаемый(ая) [B]Palmiro[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('C:\Program Files\ContentProtector\ContentProtector.exe');
TerminateProcessByName('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe');
StopService('ContentProtector');
StopService('ContentProtectorUpdate');
StopService('ContentProtectorDrv');
QuarantineFile('C:\Program Files\ContentProtector\ContentProtector.exe', '');
QuarantineFile('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe', '');
QuarantineFile('C:\WINDOWS\system32\drivers\ContentProtectorDrv.sys', '');
QuarantineFile('C:\Users\3h\AppData\Local\PhoenixBrowserUpdater\PhoenixBrowserUpdater.exe', '');
QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe', '');
DeleteFile('C:\Program Files\ContentProtector\ContentProtector.exe', '32');
DeleteFile('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe', '32');
DeleteFile('C:\WINDOWS\system32\drivers\ContentProtectorDrv.sys', '32');
DeleteFile('C:\Users\3h\AppData\Local\PhoenixBrowserUpdater\PhoenixBrowserUpdater.exe', '32');
DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe', '32');
DeleteService('ContentProtector');
DeleteService('ContentProtectorUpdate');
DeleteService('ContentProtectorDrv');
DeleteFileMask('C:\Program Files\ContentProtector', '*', true);
DeleteFileMask('C:\Users\3h\AppData\Local\PhoenixBrowserUpdater', '*', true);
DeleteFileMask(' C:\Users\3h\AppData\Local\Mail.Ru', '*', true);
DeleteFileMask('C:\Program Files (x86)\UCBrowser', '*', true);
DeleteFileMask('C:\Users\3h\AppData\Local\Kingsoft', '*', true);
DeleteFileMask('C:\Users\3h\AppData\Roaming\sweet-page', '*', true);
DeleteDirectory('C:\Program Files\ContentProtector');
DeleteDirectory('C:\Users\3h\AppData\Local\PhoenixBrowserUpdater');
DeleteDirectory(' C:\Users\3h\AppData\Local\Mail.Ru');
DeleteDirectory('C:\Program Files (x86)\UCBrowser');
DeleteDirectory('C:\Users\3h\AppData\Local\Kingsoft');
DeleteDirectory('C:\Users\3h\AppData\Roaming\sweet-page');
ExecuteFile('schtasks.exe', '/delete /TN "PhoenixBrowser Updater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "RunAsStdUser_GameCenterMailRu" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Sentry.FPCPUXVBXCQQH73VFIKQ2CD5YU" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WpsExternal_3h_20160303121027" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WpsNotifyTask_3h" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{6F45EE4E-DFC9-41B0-864E-14B91C818F65}" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
Готово
Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B] (Scan), по окончании сканирования уберите галочки на вкладках [B]Папки[/B] (Folders) и [B]Реестр[/B] (Registry) со всех пунктов, где упоминается Zona [B]только если используете эту программу[/B].
Установите в пункте меню "Настройки" (Settings) галочку "[B]Сброс политик Chrome[/B]" .
Затем нажмите [B]Очистка[/B] ([B]Cleaning[/B]) и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.
Спасибо за ответ, видимых проблем с рекламой пока не наблюдаю. Не могу прикрепить файлы отчета из оперы, выкидывает с перезагрузкой браузера и выбросом логина сайта, но это уже с утра была такая проблема. Поэтому кидаю отчеты с хрома.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Сделано
[QUOTE=Palmiro;1366306]Не могу прикрепить файлы отчета из оперы, выкидывает с перезагрузкой браузера и выбросом логина сайта, но это уже с утра была такая проблема.[/QUOTE]
Отключите расширения SaveFrom.net помощник и Adblock Plus, сообщите эффект.
Настоятельно рекомендую включить осстановление системы для системного диска, во многих случаях откат - более простая и быстрая альтернатива переустановке системы. Ознакомьтесь: [URL="http://www.outsidethebox.ms/9961/"]Защита и восстановление системы в Windows[/URL].
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKLM-x32\...\Run: [mpck_en_005030255] => [X]
Startup: C:\Users\Женька\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk [2015-07-20]
SearchScopes: HKLM-x32 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
SearchScopes: HKU\.DEFAULT -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
SearchScopes: HKU\.DEFAULT -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
SearchScopes: HKU\S-1-5-21-3931280365-3129815898-1396490388-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BF5645D23-7481-42C5-BDDE-9C0BC02E1719%7D&gp=821273
SearchScopes: HKU\S-1-5-21-3931280365-3129815898-1396490388-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BF5645D23-7481-42C5-BDDE-9C0BC02E1719%7D&gp=821273
CHR HomePage: Default -> mail.ru/cnt/11956636?gp=800000
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart","hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B776B841F-7D21-41DE-A3D0-7262C52626DA%7D&gp=821273
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - hxxps://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CustomCLSID: HKU\S-1-5-21-3931280365-3129815898-1396490388-1001_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Users\3h\AppData\Local\Temp\mcse64_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3931280365-3129815898-1396490388-1001_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Users\3h\AppData\Local\Temp\mcse64_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3931280365-3129815898-1396490388-1001_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Users\3h\AppData\Local\Temp\mcse64_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3931280365-3129815898-1396490388-1001_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Users\3h\AppData\Local\Temp\mcse64_00.dll => No File
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Java 8 обновите до [URL="http://www.java.com/ru/download/"]Java 8 Update 73[/URL].
[QUOTE=Vvvyg;1366337]Отключите расширения SaveFrom.net помощник и Adblock Plus, сообщите эффект.[/QUOTE]
Отключил, то же самое, только опера еще начала сообщать о необходимости закрыть программу.
Если уж очень будет напрягать поведение Opera - удалите с флажком "Удалить пользовательские данные Opera" и переустановите. Потеряете закладки, пароли и пр.
Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Спасибо за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\contentprotector\conprotsetup.exe - [B]not-a-virus:HEUR:NetTool.Win32.NetFilter.gen[/B][*] c:\program files\contentprotector\contentprotector.exe - [B]not-a-virus:HEUR:NetTool.Win32.NetFilter.gen[/B][*] c:\program files\contentprotector\contentprotectorupdate.exe - [B]not-a-virus:HEUR:NetTool.Win32.NetFilter.gen[/B][/LIST][/LIST]