Навязчивая банерная реклама хром, ютуб, после устновки обновления из интернета.

**jakutchenko** · 16.06.2017, 12:10

Добрый день. Виндовс предложил закачать обновления, после чего появилась навязчивая банерная реклама в хроме, и ютубе. На рабочем столе появились сслылу на игры world of tanks, world of world warships.
утиликой от dr web проличился. Поудалял троянов. Проблема осталась

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.06.2017, 12:13

Уважаемый(ая) jakutchenko, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**lex0819** · 16.06.2017, 17:17

Здравствуйте!

1. Уточните, вы сами устанавливали программу Smart Application Controller?

2. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

3. Выполните скрипт AVZ.

Код:

begin
 QuarantineFile('C:\Program Files (x86)\Smart Application Controller\smappscontroller.exe','');
 QuarantineFile('c:\users\galyna yakushchenko\appdata\local\temp\A2EDCE88-6988A764-2BB8A4C-AAD40A74\20755fd0.sys','');
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
end.

Перезагрузите компьютер вручную.
Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

4. Пришлите архив карантина из папки AVZ.

5. Сделайте новые логи программой Autologger и пришлите их.

6. Сделайте лог утилитой AdwCleaner и пришлите его.

7. Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**jakutchenko** · 17.06.2017, 21:18

Добрый вечер. Smart Application Controller? Не устанавливал. Уже деинсталировал

**thyrex** · 21.06.2017, 21:00

А остальное почему не выполнили?

**jakutchenko** · 30.06.2017, 10:58

Добрый день. Не было доступа к компу.
Все вышеперечисленное сделал. Реклама везде так и осталась.Все закачал . Заранее огромное спасибо

**thyrex** · 01.07.2017, 14:11

Логи прикрепляют к сообщению, а не засоряют ими систему сбора карантинов.

**jakutchenko** · 02.07.2017, 17:30

Все переделал. логи вложил

**lex0819** · 03.07.2017, 12:32

1. Удалите в программе AdwCleaner всё найденное. Отчет после удаления прикрепите.
2. Прикрепите отчет Addition.txt из программы Farbar Recovery Scan Tool.

**jakutchenko** · 07.07.2017, 10:26

в программе AdwCleaner всё найденное удалил еще прошлый раз. сейчас он ни чего не находит отчет приложил
Addition.txt прилагаю

**lex0819** · 07.07.2017, 13:20

1.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
FF Extension: (The Safe Surfing) - C:\Users\Galyna Yakushchenko\AppData\Roaming\Mozilla\Firefox\Profiles\pvbrgvde.default\Extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2016-09-20] [not signed]
CHR Extension: (Google Docs Offline) - C:\Users\Galyna Yakushchenko\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-08-30]
CHR Extension: (Google Docs Offline) - C:\Users\Galyna Yakushchenko\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-08-30]
CHR Extension: (Google Docs Offline) - C:\Users\Galyna Yakushchenko\AppData\Local\Google\Chrome\User Data\Profile 5\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-08-30]
CHR HKU\S-1-5-21-4219087244-1851592031-4284724088-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
R2 ktupdaterservice; C:\Program Files (x86)\Kerio\UpdaterService\ktupdaterservice.exe [950272 2014-04-08] (Kerio Technologies Inc.) [File not signed]
S2 wsaudio; C:\WINDOWS\System32\svchost.exe [47664 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\WINDOWS\SysWOW64\svchost.exe [40904 2017-03-18] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
2017-06-15 21:16 - 2017-06-15 21:16 - 00000000 ____D C:\Users\Galyna Yakushchenko\AppData\Roaming\NextIconInstaller
2017-06-17 21:16 - 2016-08-24 17:49 - 00000000 ____D C:\Program Files (x86)\Smart Application Controller
2017-01-05 15:29 - 2017-02-09 20:13 - 0000041 ___SH () C:\ProgramData\.zreglib
Kerio Updater Service (HKLM-x32\...\{4C513519-1553-4D70-9B6F-9DF73F39B008}) (Version: 1.2.61039 - Kerio Technologies, Inc.) <==== ATTENTION
Task: {083F02F6-79AF-4B7F-8345-D50A94AFC404} - \WPD\SqmUpload_S-1-5-21-4219087244-1851592031-4284724088-1001 -> No File <==== ATTENTION
2017-06-04 11:56 - 2017-06-04 11:56 - 00000000 ____D C:\WINDOWS\System32\Tasks\WPD
Task: {5ADD6405-3E71-44F5-A270-0C3502E7D7BC} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Galyna Yakushchenko\Desktop\база лайн.txt:com.dropbox.attributes [168]
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

2. У вас в браузере Chrome имеется семь профилей и много расширений.
Удалите лишние профили, отключите все расширения и понаблюдайте за проблемой.
Для очистки браузера Chrome используйте фирменный инструмент Google cleanup-tool
Рекомендации техподдержки Google - Как удалить вредоносное ПО и заблокировать всплывающие окна в Chrome

**jakutchenko** · 13.07.2017, 15:29

Проблема решилась. лог прилагаю

**lex0819** · 13.07.2017, 15:34

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

**jakutchenko** · 14.07.2017, 12:10

сделал. уязвимостей не нашло.

**lex0819** · 14.07.2017, 12:31

Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.
Запустите DelFix.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. В последний версиях Windows администратор понижен в правах по умолчанию, - не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да.
В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup.
Нажмите на кнопку Run.

Навязчивая банерная реклама хром, ютуб, после устновки обновления из интернета. (заявка № 213072)

Опции темы