Реклама в браузерах

Printable View

10.05.2016, 11:35
Алексей Майоров

Вложений: 3

Реклама в браузерах

Помогите, пожалуйста, во всех браузерах вылезает реклама, все становится ссылками, появляются всплывающие окна, на вирусы проверял и Доктором вебом, и Касперским на полную в безопасном режиме - ничего не находит.
10.05.2016, 11:37
Info_bot

Уважаемый(ая) [B]Алексей Майоров[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.05.2016, 18:49
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
DeleteFileMask('C:\PROGRA~3\b2304aaa', '*', true);
DeleteDirectory('C:\PROGRA~3\b2304aaa');
ExecuteFile('schtasks.exe', '/delete /TN "{AEF07741-AA22-DC82-6977-2A00C502100D}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
ExecuteRepair(21);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
10.05.2016, 19:13
Алексей Майоров

Охренеть.. после выполнения вкрипта комп грузанулся и у меня пропали почти что все программы, как будто откат сис-мы сделали или только что винду переустановил..
10.05.2016, 19:15
Vvvyg

Не мог скрипт привести к таким последствиям. Делайте лог FRST.
10.05.2016, 20:03
Алексей Майоров

Вложений: 1

Видать какой-то глюк был, перезагрузил комп снова и все вернулось. Выполнил скрипт заново - не помогло - вирус остался. Лог FRST приложил.
10.05.2016, 20:18
Vvvyg

Какие настройки DNS в роутере?
10.05.2016, 20:23
Алексей Майоров

Настройка DNS WAN:

Получить IP-адрес WAN автоматически? :: Да
DNS-сервер 1: Пусто
DNS-сервер 2: Пусто
10.05.2016, 20:37
Vvvyg

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{396e1d29-1de8-4248-8c76-e79234a2571e}: [DhcpNameServer] 82.163.142.7
Tcpip\..\Interfaces\{844dedee-9e5e-4298-af2a-85c30a711a18}: [DhcpNameServer] 82.163.142.7
Tcpip\..\Interfaces\{e23b490a-cb53-422f-824b-726b16fb2a25}: [DhcpNameServer] 82.163.142.7
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2866255032-3484500435-3182989268-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-2866255032-3484500435-3182989268-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7EA62D9A-79A4-4687-B58B-8E62F3151C7C%7D&gp=821698
CHR HomePage: Profile 1 -> hxxp://www.istartpageing.com/?type=hp&ts=1459268061&z=8d1ee8b9ea532d51fa3cf78g5z1wdt9o8qab9g2t4o&from=wnf&uid=TOSHIBAXMK6476GSX_32HRT0WFTXX32HRT0WFT
CHR StartupUrls: Profile 1 -> "hxxp://www.istartpageing.com/?type=hp&ts=1459268061&z=8d1ee8b9ea532d51fa3cf78g5z1wdt9o8qab9g2t4o&from=wnf&uid=TOSHIBAXMK6476GSX_32HRT0WFTXX32HRT0WFT"
CHR HKLM-x32\...\Chrome\Extension: [ahkmpjnmnhjkpkacdhkliipnncobgkhk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fbkdlibjhnblcbjjecnlpkldhbkedfhj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
2016-05-07 20:51 - 2016-05-08 17:05 - 00000000 ____D C:\ProgramData\002a7768-37e1-0
2016-05-07 20:46 - 2016-05-08 17:05 - 00000000 ____D C:\ProgramData\002a7768-62b7-0
2016-05-07 20:46 - 2016-05-08 17:05 - 00000000 ____D C:\ProgramData\{0ff1e64e-412c-0}
2016-05-07 20:46 - 2016-05-08 17:05 - 00000000 ____D C:\ProgramData\{0a0d53d1-112c-1}
2016-04-15 20:50 - 2016-05-07 20:47 - 00000000 ____D C:\ProgramData\e22d5575-48a3-1
2016-04-15 20:50 - 2016-05-07 20:46 - 00000000 ____D C:\ProgramData\e22d5575-4a73-0
2016-04-15 20:35 - 2016-04-16 12:33 - 00000000 ____D C:\Users\Сергей\AppData\Local\Hostinstaller
2016-04-15 20:35 - 2016-04-16 00:00 - 00000000 ____D C:\Program Files (x86)\IObit
2016-04-15 20:35 - 2016-04-15 20:36 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\IObit
2016-04-15 20:35 - 2016-04-15 20:36 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-04-15 20:35 - 2016-04-15 20:35 - 00000000 ____D C:\Users\Сергей\AppData\LocalLow\IObit
2016-04-15 20:35 - 2016-04-15 20:35 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-04-15 20:35 - 2016-04-15 20:35 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-04-15 20:34 - 2016-05-08 00:39 - 00000000 ____D C:\Users\Сергей\AppData\Local\Mail.Ru
2016-04-15 20:34 - 2016-04-15 23:20 - 00000000 ____D C:\Users\Сергей\AppData\LocalLow\Unity
2016-04-15 20:34 - 2016-04-15 23:20 - 00000000 ____D C:\Users\Сергей\AppData\Local\Unity
2016-04-15 20:34 - 2016-04-15 23:13 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\ImageCropResize
2016-04-15 20:34 - 2016-04-15 20:36 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\MailProducts
2016-04-15 20:34 - 2016-04-15 20:36 - 00000000 ____D C:\ProgramData\Mail.Ru
2016-04-15 20:33 - 2016-04-15 20:34 - 00000000 ____D C:\Users\Сергей\AppData\Local\Amigo
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
CustomCLSID: HKU\S-1-5-21-2866255032-3484500435-3182989268-1000_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-2866255032-3484500435-3182989268-1000_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-2866255032-3484500435-3182989268-1000_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
Task: {84EDB921-9582-4575-BAFE-CC1D8D3767D8} - \DNSLOCKINGTON -> No File <==== ATTENTION
2016-04-15 20:35 - 2016-04-15 20:35 - 00000000 ____D C:\WINDOWS\Tasks\ImCleanDisabled
C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
FirewallRules: [{DAD7CF3E-68CA-43AD-A458-1636D0A7EDE9}] => (Allow) C:\program files (x86)\common files\baidu\bddownload\107\bddownloader.exe
CMD: ipconfig /flushdns
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
[B]Отключите до перезагрузки антивирус[/B], [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.
10.05.2016, 20:59
Алексей Майоров

Вложений: 1

Большое спасибо, очень выручили! Вирусов больше не заметил. Удалились все куки браузера, видать в них был вирус.
Лог файл приложил.
10.05.2016, 21:38
Vvvyg

Главная причина - DNS серверы прописаны были левые.

Смените пароль на веб-интерфейс роутера на сложный.
Обновите прошивку роутера, если есть для вашей модели.

Удалите папку C:\FRST со всем содержимым.

Отключите временно антивирус.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.
11.05.2016, 11:34
Алексей Майоров

Вложений: 1

Спасибо, сделал
11.05.2016, 19:17
Vvvyg

[QUOTE]Java 8 Update 66 v.8.0.660.18 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u92-windows-i586.exe)^[/b][/color][/QUOTE]
Java обязательно нужно держать актуальной версии.

В остальном - порядок.
11.05.2016, 21:04
Алексей Майоров

Большое спасибо за помощь! :)
11.05.2016, 21:10
Vvvyg

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].