Самопроизвольно открывается браузер с рекламной страницей

Printable View

15.07.2018, 02:32
Plate

Самопроизвольно открывается браузер с рекламной страницей

Добрый день! Нацеплялись разные рекламные штучки, не знаю как избавиться, помогите. Бывает снизу в правом углу сообщения типа вирус, надо куда-то перейти по ссылке. Но это не антивирус, а такая же встроенная реклама в браузере. Спасибо
15.07.2018, 02:36
Info_bot

Уважаемый(ая) [B]Plate[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.07.2018, 07:48
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\BOfyoa.exe','');
QuarantineFile('C:\Users\Acer\AppData\Local\CTRRiyi.exe','');
DeleteFile('C:\Users\Acer\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
DeleteFile('C:\Windows\system32\Tasks\{02CA5DE2-76C2-59AE-1A40-3DC7EC35BEC0}','64');
DeleteFile('C:\Windows\system32\Tasks\{18B5EA8F-23AE-0117-5192-A090798A58CA}','64');
DeleteFile('C:\Windows\system32\Tasks\{5569574D-3E23-5500-F16F-060664EAD796}','64');
DeleteFile('C:\Users\Acer\AppData\Local\CTRRiyi.exe','32');
DeleteFile('C:\Windows\BOfyoa.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
16.07.2018, 23:40
Plate

Здравствуйте! Сделал, лог прилагается, но есть проблема, при загрузке карантина пишет "Ошибка загрузки. Данный файл уже был загружен", может это нормально? И ещё! Долго открывается даже форум в браузере и в папка компьютера не сразу файлы отображаются, комп висит долго думает. Спустя пол минуты, файлы появляются и видны уже
17.07.2018, 07:55
thyrex

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
23.07.2018, 16:26
Plate

Сделал!
Ещё в нижнем правом углу возникает банер с таким сообщением:
ByteFence
На Вашем компьюторе найдено 91 рисков! Активировать сейчас! Получить ByteFence Anti-malware Pro со скидкой 60%
Отмена. Активировать.
23.07.2018, 17:16
thyrex

ByteFence Anti-Malware удалите через Установку программ.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File
Task: {39964EEA-6E2F-44B0-8211-0C30DBCA3452} - System32\Tasks\Driver Booster SkipUAC (Acer) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {3E20C741-9C85-45D9-91EA-42986711C228} - System32\Tasks\Uninstaller_SkipUac_Acer => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {4DC3FB44-5733-4C0A-A380-6979945E1B78} - System32\Tasks\Chromium cadam => C:\Windows\system32\wscript.exe "C:\ProgramData\{F7A032C3-7DE2-B805-FB24-26476166AD89}\lati.txt" "68747470733a2f2f64326234366537617832617466692e636c6f756466726f6e742e6e6574" "//B" "//E:jscript" "--IsErIk" <==== ATTENTION
Task: {50B3091D-1ED6-4A60-82C1-23716F55FDFB} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe [2018-05-16] (Byte Technologies LLC) <==== ATTENTION
Task: {7C7A4001-E39F-41F8-9F9C-9ED4E97360CB} - \KMSAutoNet -> No File <==== ATTENTION
Task: {9170BE28-DC70-4003-86AF-36A0A7241EF4} - \{02CA5DE2-76C2-59AE-1A40-3DC7EC35BEC0} -> No File <==== ATTENTION
Task: {DBC8888F-DF08-45D0-BE21-FA2D48859EA6} - \{5569574D-3E23-5500-F16F-060664EAD796} -> No File <==== ATTENTION
Task: {E4F5CCD7-95EB-4DBE-996A-8AF1AE6AE373} - System32\Tasks\{278A4A15-2124-0928-9480-4BD402CA7DE1} => C:\Program Files (x86)\Common Files\278a4a152124092894804bd402ca7de1\SynHelper.exe [2013-05-01] () <==== ATTENTION
Task: {ED07E9B4-3BD8-4EBE-BF06-8326420CA09F} - \{18B5EA8F-23AE-0117-5192-A090798A58CA} -> No File <==== ATTENTION
Task: C:\Windows\Tasks\Chromium cadam.job => C:\Windows\system32\wscript.ex C:\ProgramData\{F7A032C3-7DE2-B805-FB24-26476166AD89}\lati.txt <==== ATTENTION
Task: C:\Windows\Tasks\{278A4A15-2124-0928-9480-4BD402CA7DE1}.job => C:\PROGRA~2\COMMON~1\278A4A~1\SYNHEL~1.EXE
FF Extension: (AdBlocker for YouTube™) - C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\kw5866ok.dev-edition-default\Extensions\[email protected] [2018-03-13]
FirewallRules: [{4DC80299-9698-4EB2-A466-245F9A620E02}] => (Allow) C:\Windows\BOfyoa.exe
FirewallRules: [{6412971D-ACBF-40F0-A871-326B8F2402DE}] => (Allow) C:\Users\Acer\AppData\Local\CTRRiyi.exe
C:\Users\Acer\AppData\Local\Google\Chrome\User Data\Default\Extensions\lblbnlfhhblmfconjalikamamlgoobbe
CHR HKLM\...\Chrome\Extension: [fcimjkehglmijlhnpbmjbpoiamjiegod] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2767043735-2799654105-3416073425-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (ScriptMonkey) - C:\Users\Acer\AppData\Roaming\Opera Software\Opera Stable\Extensions\lblbnlfhhblmfconjalikamamlgoobbe [2018-05-18]
S1 cbqtpjif; \??\C:\Windows\system32\drivers\cbqtpjif.sys [X]
S3 gwiopm; \??\C:\Program Files (x86)\Patriot Server\gwiopm.sys [X]
S1 hkpgsdns; \??\C:\Windows\system32\drivers\hkpgsdns.sys [X]
S1 kpyirolj; \??\C:\Windows\system32\drivers\kpyirolj.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
S1 MpKslb4688b06; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{6ACE2704-8B77-45AE-865F-D8A099DF0078}\MpKslb4688b06.sys [X]
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17315.206\TsNetHlpX64.sys [X]
2018-05-19 20:53 - 2018-05-19 20:53 - 000000000 ____D C:\Users\Все пользователи\ByteFence
2018-05-19 20:53 - 2018-05-19 20:53 - 000000000 ____D C:\ProgramData\ByteFence
2018-05-08 21:46 - 2018-05-08 21:46 - 000003592 _____ C:\Windows\System32\Tasks\Chromium cadam
2018-05-08 21:46 - 2018-05-08 21:46 - 000003344 _____ C:\Windows\System32\Tasks\ByteFence
2009-07-14 04:14 - 2009-07-14 04:14 - 000186368 ____N (Microsoft Corporation) C:\Users\Acer\AppData\Local\aIaEYyvar.exe
2018-05-18 20:22 - 2018-05-18 20:22 - 000000002 _____ () C:\Users\Acer\AppData\Local\WMI.ini
C:\Windows\Tasks\{278A4A15-2124-0928-9480-4BD402CA7DE1}.job
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
23.07.2018, 18:43
Plate

Сделал!
Очень долго открывается даже данный форум, внизу в строке пишет "Соединение vk.com..." или "Соединение loginza.ru..." Как будто браузер пытается меня перенаправить по ложному пути, спустя 1 минуту открывается нужная страница форума. Если перехожу на другую страницу, то же самое в начале долго думает и пишет соединение и левые сайты, а потом только уже перехожу куда мне надо. Каждый переход такой затяжной.
23.07.2018, 21:44
thyrex

Сделайте лог [url="https://virusinfo.info/showthread.php?t=218706&p=1480220&viewfull=1#post1480220"]МВАМ[/url]
25.07.2018, 16:30
Plate

Сделал, лог прилагаю.
25.07.2018, 17:14
thyrex

Поместите в карантин МВАМ все, [B]КРОМЕ[/B]
[CODE]PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Проигнорировано пользователем, [12953], [293296],1.0.6061[/CODE]
28.07.2018, 10:41
Plate

Вложений: 1

есть
28.07.2018, 12:57
thyrex

Что теперь с проблемой?
29.07.2018, 16:30
Plate

Ну проблема ушла, ещё с первого шага помощи, за это спасибо. Однако как я писал уже, осталась другая проблема, страницы в браузере медленно открываются и внизу пишется что идёт соединение с vk.ru... или loginza.ru... Причём тут ВКонтакт или эта Логинза? Если я просто нажимаю обновление страницы форума, так оно должно сразу и открывать форум вирусаинфо? Правильно? А оно ломится на ВКонтак или Логинзу, а лишь потом на нужную мне страницу! То есть мой браузер (Мозила) в начале пытается соединиться с другим сайтом, а лишь потом когда не может это сделать обновляет страницу данного форума? Можно это как-то убрать? :O Спасибо
22.08.2018, 01:01
Plate

зашёл спустя месяц, а ответа нет? ;)