Самопроизвольно открывается окно с рекламой в google chrome [not-a-virus:AdWare.Win32.BrowSecX.tx.a ]

[Сання]

доброго времени суток уважаемые...собственно проблема в следующем..при работе в гугл хром самопроизвольно начинают открываться окна с рекламой.

[Info_bot]

Уважаемый(ая) Сання, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

отключите антивирусную программу

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

begin
ExecuteFile('schtasks.exe', '/delete /TN "InternetAA" /F', 0, 15000, true);
RebootWindows(true);
end.

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

[Сання]

вроде все выполнил

[mrak74]

вроде все выполнил

Должен был получиться такой же архив как в прошлый раз, его надо было прикреплять. Жду архив с полным комплектов логов.

[Сання]

он?

[mrak74]

он?

Он.

Пофиксите в HijackThis:

Код:

O22 - ScheduledTask: (Ready) InstallShield Update Service - {root} - "C:\Users\aleksandr\AppData\Local\Microsoft Help\ISSCH\issch.exe" e0A6b8377FA783163E099C31ccDD33B91AFE4B02 (file missing)

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\WINDOWS\system32\Tasks\InstallShield Update Service','64');
 DeleteFile('C:\Users\aleksandr\AppData\Local\Microsoft Help\ISSCH\issch.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Сання]

пофиксить не получилось..пишет не может найти это в регистре. скрипт написал

[mrak74]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  TerminateProcessByName('c:\users\aleksandr\appdata\roaming\browser-security\s768.exe');
  QuarantineFile('c:\users\aleksandr\appdata\roaming\browser-security\s768.exe','');
  DeleteFile('C:\Users\aleksandr\AppData\Roaming\Browser-Security\s768.exe','32');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','safe_urls768');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

P.S. Убедительная просьба, пока лечим компьютер, не нахватайтесь новых вирусов.

[Сання]

после перезагрузки выполнил скрипт и он написал что ошибок нет...по красной ссылке тоже выполнил.но не понял где он сохранился.

[mrak74]

Adwcleaner-ом уже чистились ?

Если да, то забыли удалить значение в реестре:

Код:

Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Browser-Security

Удалите.

+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[Сання]

все сделал.

[mrak74]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (WAB - Умный блокировщик рекламы) - C:\Users\aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\alcmakjhknigccfidaelkafjmfifkhkc [2016-12-16]
CHR Extension: (Adguard Антибаннер) - C:\Users\aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgnkhhnnamicmpeenaelnjfhikgbkllg [2016-12-23]
CHR Extension: (Poper Blocker) - C:\Users\aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkkbcggnhapdmkeljlodobbkopceiche [2016-12-16]
CHR Extension: (Adblock Plus) - C:\Users\aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-12-15]
CHR Extension: (Ads Killer) - C:\Users\aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjckigopagkhaikodedjnmbccfpnmiea [2016-12-16]
CHR Extension: (The Safe Surfing) - C:\Users\aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-12-15]
CHR Extension: (Ghostery) - C:\Users\aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlomiejdfkolichcflejclcbmpeaniij [2016-12-16]
OPR Extension: (The Safe Surfing) - C:\Users\aleksandr\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-12-14]
Task: {00C2832B-93FF-4ED4-9F9A-8DCE6F14663F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {01727BF5-6CE6-49AA-8C8D-7B8ADE5B598C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {126529DC-99EC-4444-B549-B056ABCBA1E0} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {2573A30F-F30A-4726-81A5-0833A820F5C0} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {2EDFE5D4-5EAB-4B14-A454-5B28A2927253} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {37A39E7D-A338-4ECF-AF08-7F9710B8E0B7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {39EAB4F3-5550-4C19-853C-59738807A5C5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {47FA6DE7-10B5-436C-B112-F2477493B9D2} - \InstallShield Update Service -> No File <==== ATTENTION
Task: {555AA6A7-5705-4549-8C7B-3A99C2E37031} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {658EA2F5-D7EE-4232-ABD1-F380EE67CE82} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {70CEDFEE-5832-4839-BD87-C2FD05C4CC51} - \Microsoft OneDrive Auto Update Task-S-1-5-21-1143335684-2632219761-3801289725-500 -> No File <==== ATTENTION
Task: {778B3C03-03F8-4DD7-ACB8-EEB1C52CA9C8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {C232674D-391D-468D-8024-43932290172C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {C82229D4-0BFE-449D-968B-46DED0767275} - \WPD\SqmUpload_S-1-5-21-1143335684-2632219761-3801289725-1001 -> No File <==== ATTENTION
Task: {DDEEAA05-CB4E-4F72-80AA-2F6C123B8E4D} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {DFF60A52-9543-4ECF-A0AF-3D95337EB188} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {F25178E4-30BF-4442-ACBF-F8539141971F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Сання]

сделал,только теперь все расширения удалились в хроме.точнее в расширениях показано что они включены,а по факту их нет

[mrak74]

собственно проблема в следующем..при работе в гугл хром самопроизвольно начинают открываться окна с рекламой.

Эта проблема решена ?

только теперь все расширения удалились в хроме.точнее в расширениях показано что они включены,а по факту их нет

Мы зачищали расширения которые открывали окна с рекламой, часть из них может показаться Вам нормальными, по факту они были модифицированы.

[Сання]

да,проблема решилась огромное спасибо...подскажите какие расширения тогда можно встроить в браузер для блокировки рекламы? стояли вот эти Adguard Антибаннер,Adblock Plus,Ads Killer

[mrak74]

да,проблема решилась огромное спасибо...подскажите какие расширения тогда можно встроить в браузер для блокировки рекламы?

Можете попробовать Adblock, просто Adblock, без Plus, Super и т.п. приставок, он пока модифицированным замечен не был.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\aleksandr\appdata\roaming\browser-security\s768.exe - not-a-virus:AdWare.Win32.BrowSecX.tx.a