Printable View
Доброе время суток, надоела реклама в браузере. При переходе по ссылкам перенаправляет на рекламные ссылки игр, иногда прямо поверх ссылок невидимый блок - пока на него не нажмешь, ссылка будет некликабельна. Насколько мог почистил все ненужные и странные мне программы, в расширениях нет рекламы
Уважаемый(ая) [B]Rangnat Plain[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '');
DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[URL='http://rghost.ru/8vT7qY7PZ']сделайте лог HiJackThis 2.0.6 Alfa 1.8[/URL]
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Простите за ожидание, не было возможности. Вроде все правильно сделал
1) Лог AdwCleaner там там только шапка от лога, видно окончания работы утилиты вы не дождались - переделывайте.
2) Лог хиджак устаревшей версии, хотя я просил вас сделать свежей - также переделывайте.
3) где ссылка на отчёт? [quote="regist;1375170"]- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.[/quote]
[url]http://virusinfo.info/virusdetector/report.php?md5=A830DF3354AEDFA742AEAD908349E397[/url]
Так все верно? Я немного не понял, как надо было прикрепить ссылку.
Закройте все программы, [url=http://virusinfo.info/showthread.php?t=130828][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ClearQuarantine;
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2013\Средства Office 2013\Активация MS Office.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_test.zip"]Check Browsers' LNK by Dragokas & regist[/URL].
Программы/расширения от Mail.ru используете?
Нет, не использую, вычистить все никак не могу, та еще зараза.
- Исправьте с помощью [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиты ClearLNK[/url] следующие ярлыки, отчёт о работе прикрепите:
[CODE]C:\Users\User\Favorites\Mail.Ru Агент - используй для общения!.url
C:\Users\User\Favorites\Mail.Ru.url
C:\Users\User\AppData\Roaming\Microsoft\Excel\Книга1304304473180446048\Книга1.xlsx.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\SendTo\QIP Shot.lnk
C:\Users\UpdatusUser\Desktop\Captain Forever Remix Update 6.lnk
C:\Users\UpdatusUser\Desktop\Cat Goes Fishing.lnk
C:\Users\UpdatusUser\Desktop\CDisplay.lnk
C:\Users\UpdatusUser\Desktop\Planetbase.lnk
C:\Users\UpdatusUser\Desktop\Sketch Tales.lnk
C:\Users\UpdatusUser\Desktop\Stamp.lnk
C:\Users\UpdatusUser\Desktop\Windosill.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{48E80D50-597B-433B-BB8E-A5B5064A5F28}\PlayTasks\0\Spore.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{48E80D50-597B-433B-BB8E-A5B5064A5F28}\PlayTasks\1\Проверить обновления.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{48E80D50-597B-433B-BB8E-A5B5064A5F28}\PlayTasks\2\Деинсталляция.lnk
[/CODE]
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B])[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]Ярлык Заражён : C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2013\Средства Office 2013\Активация MS Office.lnk ( -p12345 )
[/CODE][*] Нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Вроде все верно.
[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Деинсталлировать[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]
что с проблемой?
Осталась, прямо при заходе на этот сайт через закладки. Не могу нажать на сайте ничего - курсор на ссылках неактивный... Как описать то. Если нажать - открывается вкладка, но показало ошибку "Соединение сброшено", в строке все тот же сайт Смарт_что-то_там, с которого на другие рекламные сайты перекидывает. Т.е. сначала перекидывает на "смарт", он не догружался и перебрасывал на рекламу игрушки или т.д. После операций выше рекламный сайт не догружается и показывает ошибку. Но оно все равно есть
[quote="Rangnat Plain;1376545"]Осталась, прямо при заходе на этот сайт через закладки.[/quote]
в каком браузере? И самый простой вариант просто удалить закладки и создать заново. Видно вирус подменил адрес у закладок.
Google Chrome. Реклама, в принципе, тоже осталась, хотя сбой соединения стал куда чаще выбивать. При переходе по ссылкам через поиск, если просто ползать по браузеру, тоже перекидывает. Хорошо, попробую переустановить браузер и проверить. Я успел заскриншотить ссылку-сайт, на который меня первоначально перекидывает, может программа какая-то? [ATTACH=CONFIG]626793[/ATTACH]
Давайте так ещё попробуем
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]).[*]В меню [b]Настройки[/b] отметьте:
[list][*]Сброс политик IE[*]Сброс политик Chrome[*]Reset Chrome preference[/list][*]Нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
и ещё раз после этого проверьте проблему.
Забыл снять галочку с офиса, не страшно. Переустановка Хрома не помогла. Последний совет тоже что-то не то - сразу после захода в браузер (до входа в аккаунт) и сюда через закладки - эта невидимая реклам-панель все еще тут. Кинуло на Redirect. Даже при предварительном, когда я нажал на картинку проверить разрешение, опять на него перекинуло [ATTACH=CONFIG]626904[/ATTACH]
[quote="Rangnat Plain;1376949"]Забыл снять галочку с офиса, не страшно.[/quote]
можете восстановить ярлык из карантина.
А по проблеме, попробуйте ещё полный сброс настроек Хрома [url]https://support.google.com/chrome/answer/3296214?hl=ru[/url]
Сброс не помог, хотя раза в два уменьшилось, по личным ощущениям. В среднем один такой перекид и сбой сервера загрузки один на ссылок 20, до всего этого каждая вторая срабатывала. Но осталось
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Таки реклама есть и погружаемая, и заменяющая сайта, и прямо из поисковика.
[CODE]CHR Extension: ([B]Duolingo в сети[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]aiahmijlpehemcpleichkcokhegllfjl[/B] [2016-04-20]
CHR Extension: ([B]Nordic Forest[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]amekpplpfocpmaimnmgfjoibodpjedie[/B] [2016-04-20]
CHR Extension: ([B]Диск Google[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]apdfllckaahabafndbhieahigkjlhalf[/B] [2016-04-20]
CHR Extension: ([B]YouTube[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]blpcfgokakmgnkcojhhkbfbldkacnbeo[/B] [2016-04-20]
CHR Extension: ([B]Adblock Plus[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]cfhdojbkjhnklbpkdaibdccddilifddb[/B] [2016-04-20]
CHR Extension: ([B]Google*Документы офлайн[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]ghbmnnjooekpmoecnnnilnnbdlolhkhi[/B] [2016-04-20]
CHR Extension: ([B]LinguaLeo English Translator[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]nglbhlefjhcjockellmeclkcijildjhi[/B] [2016-04-20]
CHR Extension: ([B]Платежная система Интернет-магазина Chrome[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]nmmhkkegccagdldgiimedpiccmgmieda[/B] [2016-04-20]
CHR Extension: ([B]Browsec VPN - Privacy and Security Online[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]omghfjlpggmjjaagoclmmobgdodcjboh[/B] [2016-04-20]
CHR Extension: ([B]Gmail[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]pjkljhegncpnkpknbcohdijeoejaedia[/B] [2016-04-20]
CHR HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [[B]eofcbnmajmjmplflapaojjnihcjkigck[/B]] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-05-22]
CHR HKLM-x32\...\Chrome\Extension: [[B]gomekmidlodglbbmalcneegieacbdmki[/B]] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2015-05-22][/CODE]
эти расширения вам знакомы?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[CODE][B]Java(TM) 6 Update 45 [/B](HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216045FF}) (Version: 6.0.450 - Oracle)
[/CODE]деинсталируйте.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]start
CreateRestorePoint:
HKLM\...\StartupApproved\Run32: => "gmsd_ru_005010133"
HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\...\StartupApproved\StartupFolder: => "OrbitumUpdate.lnk"
HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\...\StartupApproved\StartupFolder: => "crossbrowse.lnk"
HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\...\StartupApproved\Run: => "gocoupon"
URLSearchHook: [S-1-5-21-1380935137-2005365065-2398988406-1001] ATTENTION => Default URLSearchHook is missing
URLSearchHook: [S-1-5-21-1380935137-2005365065-2398988406-1002] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\S-1-5-21-1380935137-2005365065-2398988406-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-1380935137-2005365065-2398988406-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxps://www.google.ru/webhp?tab=ww&ei=-2jXU7y6CMqI4gTy74G4BA&ved=0CBUQ1S4","hxxp://winyagd.ru/","hxxp://megatrack.org/","hxxp://cinema.megatrack/","hxxp://mail.ru/cnt/10445?gp=openpart5","hxxp://mail.ru/cnt/10445?gp=openpart","hxxp://www.mystartsearch.com/?type=hp&ts=1446412918&z=26a03158fa1506a8131143bg9zfzcq3z1gdqeo7c5g&from=cmi&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDB06636","hxxp://www.yoursites123.com/?type=hp&ts=1450082892&z=8c3480ce7633160be12bd51g5z5wde3e6beq6z8w7b&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDB06636","hxxp://www.yoursearching.com/?type=hp&ts=1456165774&z=f600622aeb91d87fb8939adg8zfw3qegaq0w5mfmez&from=exp1&uid=st1000lm024xhn-m101mbb_s2smj9bdb06636"
EmptyTemp:
Reboot:
end[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
[ATTACH=CONFIG]627204[/ATTACH] Не узнаю этого.
[quote="Rangnat Plain;1377477"]Не узнаю этого.[/quote]
это легал [url]https://chrome.google.com/webstore/detail/application-launcher-for/lmjegmlicamnimmfhcmpkclmigmmcbeh[/url]
- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования MBAM.[/url]
Что-то там совсем не так, как написано в теме, нет пунктов выбора, чего сканировать. И имя пришлось самостоятельно вбивать при сохранении.
Удалите в MBAM всё кроме
[CODE]Hijack.AutoConfigURL.PrxySvrRST, HKLM\SYSTEM\CONTROLSET001\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES, 0http://stop-block.org/wpad.dat?ccbdcb1d78e5aa1780a0d2282b70c2a66596785, , [c17d674b0e8bff37c01f00a74fb553ad]
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AutoConfigUrl, http://stop-block.org/wpad.dat?ccbdcb1d78e5aa1780a0d2282b70c2a66596785, , [64daeec49cfd1b1b113a198ae02445bb][/CODE]
проверьте проблему.
Т.е. удалить эти файлы через эту же программу?
да.
Удалил, перезагрузил, при заходе на сайт все равно была реклама, но эта же программа оповестила, что заблокировала как рекламу. Увы, не успел скриншот сделать.
Судя по тому логу, что вы прикрепили вы ничего не удалили.
Прошу прощения, очень криво прочитал.
что сейчас с проблемой?
Осталась проблема. Просто открываю из браузера через поисковик нужные сайты через колесико, открывается новая вкладка и во время прогрузки просто подменяется сайт. Без возможности "вернуться" на нужный мне, чисто подмена.
[URL="http://www.opera-usb.com/ru/"]скачайте отсюда Оперу[/URL] и проверьте проблему в ней.
Проблему не заметил. Жалуется на "сертификат сервера не соответствует имени узла" со ссылками на сайты, как окно-предупреждение, но заменяющий рекламы нет.
В проблемном браузере
Отключите все расширения в браузере и проверяйте проблему.
Кажется, это все же расширения. За два часа перед отключением всех расширений я удалил в адблоке какую-то версию, которая была помечена как старая и необновляемая, но я как-то не особо углядел, может это и ее вина. Спасибо)
папку C:\FRST удалите.
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]