Реклама в браузерах

Printable View

13.01.2017, 09:31
Valevis

Реклама в браузерах

Добрый день!
В браузере Microsoft Edge самопроизвольно появляются окна с рекламой. В браузере Google chrom появились стартовые страницы : httрs://mail.ru/ и httр://www.mysites123.com/?type=hp&ts=1448956819&z=e28b1ecbd5f76e01b641e36gdzaz7b9tfwfqfb4g6t&from=amt&uid=toshibaxmk3259gsxp_71mbd3bvbxx71mbd3bvb
13.01.2017, 09:36
Info_bot

Уважаемый(ая) [B]Valevis[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
13.01.2017, 11:29
mrak74

Здравствуйте !!!

Выполните скрипт в AVZ:
[CODE]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe');
StopService('Ghostery Storage Server');
QuarantineFile('C:\Program Files\NetPanel\IEHelper.dll','');
QuarantineFile('C:\Users\Олександр\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8FFBJGZO\CommunicatorPlugin_401.exe','');
QuarantineFile('c:\program files (x86)\ghostery storage server\ghstore.exe','');
DeleteFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\hitsnews','64');
DeleteFile('C:\Users\Олександр\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8FFBJGZO\CommunicatorPlugin_401.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\{36B720FD-CF36-4889-9528-94E35ED92813}','64');
DeleteFile('C:\Program Files\NetPanel\IEHelper.dll','32');
ExecuteFile('schtasks.exe', '/delete /TN "hitsnews" /F', 0, 15000, true);
DeleteService('Ghostery Storage Server');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]. Для [u]повторной[/u] диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/finish/1/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
13.01.2017, 12:06
Valevis

Все сделал
13.01.2017, 12:18
mrak74

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
13.01.2017, 12:52
Valevis

Все сделал
13.01.2017, 17:40
mrak74

Вы очистку Adwcleaner-ом делали ? Сомневаюсь, что Вам как минимум
[QUOTE]Знайдено настройки Chromium: [C:\Users\Олександр\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.mysites123.com/?[/QUOTE] этот поисковик нужен, да и некоторые расширения в chrome. Почистите Adwcleaner-ом, покажите лог очистки, сразу же сделайте новый лог FRST прежний к тому моменту будет не актуален.
13.01.2017, 18:03
Valevis

очистку Adwcleaner-ом сделал. Написал, что проблем нет и очистку не делал только перегрузился. Что-то еще делать?
13.01.2017, 18:26
mrak74

[quote="mrak74;1426363"]Отчет после удаления прикрепите.[/quote]
Отчет Adwcleaner-а

+ Логи Farbar Recovery Scan Tool : FRST.txt и Addition.txt.
16.01.2017, 10:59
Valevis

все сделал
16.01.2017, 11:51
mrak74

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

[CODE]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-278803108-4137564785-3077710558-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-278803108-4137564785-3077710558-1000\...\MountPoints2: {a3f9396b-71ee-11e1-9fb3-78843cf7f3e9} - "F:\Launcher.exe"
HKU\S-1-5-21-278803108-4137564785-3077710558-1000\...\MountPoints2: {dcd07849-9b56-11e6-9c55-78843cf7f3e9} - "F:\Launcher.exe"
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-278803108-4137564785-3077710558-1000 -> No Name - {7CA09C56-E75D-4C4D-9F65-522019B223F7} - No File
Edge Extension: (НАЗВА) -> hdokiejnpimakedhajhdlcegeplioahd_LastPassLastPassFreePasswordManager_qq0fmhteeht3j => C:\Program Files\WindowsApps\LastPass.LastPassFreePasswordManager_4.1.29.0_neutral__qq0fmhteeht3j [2016-10-11]
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\pdf.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\gcswf32.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_235.dll => No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll => No File
CHR Plugin: (Java Deployment Toolkit 6.0.220.4) - C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll => No File
CHR Plugin: (Java(TM) Platform SE 6 U22) - C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll => No File
CHR Plugin: (Google Earth Plugin) - C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll => No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll => No File
CHR HKLM\...\Chrome\Extension: [pnlccmojcmeohlpggmfnbbiapkmbliob] - C:\Program Files (x86)\Siber Systems\AI RoboForm\Chrome\rf-chrome.crx [2014-02-20]
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnlccmojcmeohlpggmfnbbiapkmbliob] - C:\Program Files (x86)\Siber Systems\AI RoboForm\Chrome\rf-chrome.crx [2014-02-20]
Task: {31B27B00-B8B5-4296-8B05-B9F0FE4EC162} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {3DABA3FD-DFA9-42EE-B977-C755C82D3200} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {5FEF926F-C1C9-4AA1-BCD8-A33B35AB9DFA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {620306E4-7C6A-4500-A95B-6FC06F000B5D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {7B7D66F6-E255-4A0D-BF8D-89CED6D55712} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {7D8CADC0-D007-4751-A354-23C998BE967F} - \{36B720FD-CF36-4889-9528-94E35ED92813} -> No File <==== ATTENTION
Task: {9F74548C-9262-4A23-956C-3EFB88CB4F32} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {A06E9C0E-41AA-4562-899A-1F6522CA2845} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {A9A70E3E-6053-4D6D-A279-4E62DC5535C5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {B75D4AA1-00E8-4A93-A181-99820CDCEC81} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {F2FB16BC-8837-45C8-920B-374EF05F5775} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {FD7351E7-FDAA-462F-8CFE-10A19C5B7F6B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTIONAlternateDataStreams: C:\Users\Олександр:id [66]
AlternateDataStreams: C:\ProgramData\TEMP:2A66F1C3 [374]
AlternateDataStreams: C:\ProgramData\TEMP:2CB9631F [134]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:2A66F1C3 [374]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:2CB9631F [134]
EmptyTemp:
Reboot:[/CODE]
[*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
16.01.2017, 12:23
Valevis

Отправляю файл
16.01.2017, 17:40
mrak74

Что с проблемой ?
16.01.2017, 17:56
Valevis

Проблема решилась. Большое спасибо за помощь.
16.01.2017, 17:58
mrak74

Пожалуйста !!!
16.01.2017, 18:08
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]