Самопроизвольное открываение Браузера с рекламой, и установка программ

**regist** · 26.03.2016, 15:16

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Сообщение от Vlad123123

Запуск программы невозможен, так как на компьютере отсутствует tinyxml.dll попробуйте переустановить программу.

попробуйте последовать совету

.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Vlad123123** · 26.03.2016, 15:54

После чистки adwcleanerom перестала вылазить ошибка для файлов сfg.) теперь ничего переустанавливать не нужно.
отчет прилагаю

**regist** · 26.03.2016, 16:26

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление нажав кнопку: Да.

что с проблемой?

**Vlad123123** · 26.03.2016, 22:24

вроде все в порядке, единственное поиск через go.mail в браузерах.
спасибо вам большое, думаю тему можно закрывать.

**regist** · 26.03.2016, 23:13

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**Vlad123123** · 28.03.2016, 17:28

Извиняюсь за задержку.

**regist** · 28.03.2016, 19:23

Driver Booster - нежелательное ПО, советую деинсталировать.

Код:

CHR Extension: (Script counter) - C:\Users\гений\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjgpmeoldcchbfbojmmimhgmlmbbdhaj [2016-03-27]
CHR Extension: (AdBlock) - C:\Users\гений\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-03-18]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\гений\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-12-31]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2016-02-17]

Script counter - расширение вам знакомо?

А также это?

Код:

OPR Extension: (Advertising block) - C:\Users\гений\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-03-27]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
Task: {2E9BA8EA-464B-41E5-85B4-882AC5ECC4F7} - \Microsoft Windows Video -> No File <==== ATTENTION
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1768525655-1577616420-2247626156-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-03-22 20:14 - 2016-03-22 20:22 - 00000000 ____D C:\Program Files (x86)\HDef

EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Vlad123123** · 29.03.2016, 18:50

Драйвер бустер удалил после первого вашего совета, его уже нет вроде
Фикс выполнил, файл прикрепил.
Script counter после фикса пропал, до этого не было кнопки удаления в настройках расширений браузера.
Не удаляется http blocker extension, при удаление отвечает что расширение удалено, но удалять его можно бесконечно.
Advertising block - думаю это Ад блок расширение против назойливой рекламы.

**regist** · 29.03.2016, 19:50

Сообщение от Vlad123123

Advertising block - думаю это Ад блок расширение против назойливой рекламы.

Adblock так в списке и обозначается обычно.

Сделайте свежие логи FRST.

**Vlad123123** · 30.03.2016, 20:52

1) Script counter обратно появился.
2) Я не много не допонял

, из расширений только Adblock сам ставил, больше ничего.
3) Кстати опять запросы поиска с гугла перенаправляет в go.mail.

Написал в командной строке
RD /S /Q "%WinDir%\System32\GroupPolicy"
RD /S /Q "%WinDir%\Syswow64\GroupPolicy"
gpupdate

расширение пропало и перенаправление на го маил прекратилось.

**regist** · 30.03.2016, 21:16

Код:

C:\Users\沐龛閈AppData

эту папку вручную удалите.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1768525655-1577616420-2247626156-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (Script counter) - C:\Users\гений\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjgpmeoldcchbfbojmmimhgmlmbbdhaj [2016-03-29]

EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

проверьте проблему.

**Vlad123123** · 01.04.2016, 23:42

cделал

**regist** · 02.04.2016, 09:21

что с проблемой?

**Vlad123123** · 03.04.2016, 17:47

Проблема опять появилась, мне кажется все идет от торрента.
Из автозагрузки я его уже 2 раза исключал.
При включение ноута он сам запускается(торрент), просит обновить его причем на старую версию, и появляется звук 3-4 щелчка, как будто на ссылки клик. После чего появляется ScriptCounter а с ним и перенаправление на go.mail.

Удалить не получается, недостаточно прав.
Какие сделать логи?

**regist** · 03.04.2016, 18:10

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

**Vlad123123** · 03.04.2016, 21:24

готово.

**regist** · 03.04.2016, 23:23

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
zoo %SystemDrive%\USERS\ГЕНИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\UPDATE.EXE
bl CC02989CDCBCD2FA0C6248896ED2F151 348160
delall %SystemDrive%\USERS\ГЕНИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\UPDATE.EXE
zoo %SystemDrive%\USERS\ГЕНИЙ\APPDATA\ROAMING\MICROSOFT\VIDEO\UNINSTALL.EXE
bl E8EC9F9A806A3FE4263949A6B5159E22 124928
delall %SystemDrive%\USERS\ГЕНИЙ\APPDATA\ROAMING\MICROSOFT\VIDEO\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
deltmp
regt 27
czoo
restart

- Сделайте лог полного сканирования MBAM.

**Vlad123123** · 06.04.2016, 20:57

карантин
Файл сохранён как 160406_191032_ZOO_2016-04-06_18-53-38_570534f80a48e.zip
Размер файла 349180
MD5 3090de9aef33b4a8f9a896ecccf68c4a

- - - - -Добавлено - - - - -

КMS AUTO на сколько помню вроде активатор вин.

**regist** · 06.04.2016, 21:11

1)

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление нажав кнопку: Да.

2) Поместите в карантин MBAM только

Код:

Разделы реестра: 5
PUP.Optional.TorrentSearch, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{DCFCC2EC-3F33-45A8-8ADF-A6C81F11232F}, , [b3e9d0db5b3ed6604a64c0253dc538c8], 
PUP.Optional.TorrentSearch, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{DCFCC2EC-3F33-45A8-8ADF-A6C81F11232F}, , [b3e9d0db5b3ed6604a64c0253dc538c8], 
Trojan.ProxyHijacker, HKLM\SOFTWARE\CLASSES\audi_a4_ii_b6_sedan_repair_manual_pdf.DynamicNS, , [217be9c21584a4924cd6dd093dc5e719], 
Trojan.ProxyHijacker, HKLM\SOFTWARE\WOW6432NODE\CLASSES\audi_a4_ii_b6_sedan_repair_manual_pdf.DynamicNS, , [53498625c3d63ff7a57ddd0923df2bd5], 
Trojan.ProxyHijacker, HKLM\SOFTWARE\CLASSES\WOW6432NODE\audi_a4_ii_b6_sedan_repair_manual_pdf.DynamicNS, , [53498625c3d63ff7a57ddd0923df2bd5],

3) Что с проблемой?

**Vlad123123** · 10.04.2016, 12:43

Перенаправление на go.mail пропало, script counter остался, но уже перед выполнение уже последних действий, появилась новая проблема, при нажатие на любую ссылку в браузере (даже на ползунок перемотки) открывается новое окно браузера : c адресом удалено
Не удается получить доступ к сайту

Не удается найти DNS address сервера dpbolvw.net.
DNS_PROBE_FINISHED_NXDOMAIN
какой лог сделать?

Самопроизвольное открываение Браузера с рекламой, и установка программ (заявка № 198656)

Опции темы

Похожие темы

При открытии браузера открываются левые сайты с рекламой (Вулкан, Megogo). Также запускаются установки левых программ

Скрытая установка программ . Всплывающие вкладки с рекламой в браузере [not-a-virus:AdWare.Win32.PriceGong.a, not-a-virus:AdWare.Win32.Vitruvian.q ]

Всплывающие окна с рекламой, самопроизвольное закрытие окна сайта, самопроизвольное открытие другого сайта в открытом окне. [not-a-virus:Downloader.Win32.Montiera.b ]

Самопроизвольное открытие браузера с рекламой

Ваши права в разделе