Вирус: рекламная вкладка открывающаяся раз в двадцать минут.

[Женя ЕАН]

У меня проблема с всплывающей рекламой в виде новой вкладки в Google (и только в нем).


Видимо что-то установилось с WinRar - я тогда контроль потерял и офигивал.


Скачал AdwCleaner (по совету на вашем форме в похожей теме), удалил все что он предложил по итогу, перезагрузил. Все также. Теперь ничего вредоносного не находит.


Отключал все расширения в Хроме, но все равно. Переудалял установленные этой херней расширения мейла.


Отчищал файлы печеньки и т.п.


Перед переходом на рекламный сайт такая строчка: httр://news-first.com/veigar. Вот такая хрень: httр://b2.ijquery11.com/cs?wsa=4f5f9f3842fc85ea&v..
b2.ijquery11.com и чаще всего в итоге забрасывает на сайт Pokerdom.


Открывается раз в двадцать четыре минуты где-то. Причем, даже если браузер закрыл, открывая его вновь. И оффлайн тоже.


А началось все с того, что я хотел найти тру-шахматы, но нужные были только в rar (один из файлов вирусняком был и его сразу же скрутил, а затем удалил брандмейстер винды 10), пришлось искать winrar (новый ноут просто).


Антивирусник у меня вообще Аваст.


Изначально связывал из неоткуда взявшегося ZaxarGameBrowser, который основательно работал фоном (и было много в диспетчере задач вкладок), но его следы, которые где только не остались, были удалены Adw, а затем Anti-Malware.


Что мне сделать еще, чтобы избавиться от этого?


Проверил все установленные/созданные файлы за сегодня даже вручную, а эта штука может работать и в оффлайн режиме: открывается браузер и там пытаются по ссылке перейти, что без доступа к интернету, конечно же, не получается.


Плюс, на момент проверки Anti-Malware (который отрыл два новых файла по этой херне) и Авастом, она не действовала. Впрочем, на других тоже не замечал (с AVZ на отчете для вас работала). Хитро!

UPD. Повторно долбанул сканирование AM и во время его работы реклама снова дала о себе знать, но в первый раз был вправду большой перерыв.


Помогите!

Ps. В порыве отчаяния даже удалял и переустанавливал Хром. Не помогло. Зато не проверял, что будет, если просто его удалить. Ядовитым расширением был задет Яндекс, добавляя кучу рекламных постов на страницах сайтов, но его отключил и удалил.

[Info_bot]

Уважаемый(ая) Женя ЕАН, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

1) Удаляем Cezurity_Antivirus и MBAM, пусть останется один Avast.

2) Выполните скрипт в AVZ:

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
  DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
  DeleteFile('C:\WINDOWS\system32\Tasks\InternetBB','64');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
  DeleteFileMask('C:\Program Files (x86)\Zaxar\', '*', true);
  DeleteDirectory('C:\Program Files (x86)\Zaxar\');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[Женя ЕАН]

Ок, спасибо!

Логи сделаю, но вот не могу загрузить никак файл в карантин, т.к. пишет что уже файл был загружен.

- - - - -Добавлено - - - - -

Дружище, к сожалению, ваш скрипт не помог, но я сделал таки диагностику по пунктам 2 и 3 по правилам. Надеюсь, что это поможет помочь мне)

[mrak74]

Дружище, к сожалению, ваш скрипт не помог, но я сделал таки диагностику по пунктам 2 и 3 по правилам. Надеюсь, что это поможет помочь мне)

Возможно, но я уже вижу изменения в лучшую сторону.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Да-да, читал, применяли, повторите, посмотрим через AdwCleaner еще раз.

[Женя ЕАН]

О, он обнаружил угрозу (название у файла знакомое - уже мелькал среди орды иных обнаруженных угроз), я удалил. Отчет прикрепляю.

Но реклама все еще появляется. Пока писал ответ таки выскочила.

Ps. Я с самого начала ошибку допустил: пока вы не написали про диагностику по правилам, я запускал проги не от имени администратора. Начинал выполнять инструкцию пошагово, вместо того, чтобы сначала полностью прочитать, ага.

[mrak74]

Ps. Я с самого начала ошибку допустил: пока вы не написали про диагностику по правилам, я запускал проги не от имени администратора. Начинал выполнять инструкцию пошагово, вместо того, чтобы сначала полностью прочитать, ага.

Важный аспект для вашей ОС, не пренебрегайте.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[Женя ЕАН]

Готово! Что теперь дальше?

[mrak74]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hp15-comm.msn.com/?pc=HRTE
  HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://hp15-comm.msn.com/?pc=HRTE
  HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hp15-comm.msn.com/?pc=HRTE
  HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://hp15-comm.msn.com/?pc=HRTE
  CHR Extension: (Документы Google) - C:\Users\hp\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-11-30]
  CHR Extension: (Google Таблицы) - C:\Users\hp\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-11-30]
  CHR Extension: (Google*Документы офлайн) - C:\Users\hp\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-11-30]
  CHR Extension: (Chrome Media Router) - C:\Users\hp\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-11-30]
  Task: {4489DD7B-EEA8-4ED2-B517-AA46B7C22FF6} - \InternetBB -> No File <==== ATTENTION
  FirewallRules: [UDP Query User{58E65416-BA77-4CD1-9AA0-5C1A515E509E}C:\users\hp\appdata\local\mediaget2\mediaget.exe] => C:\users\hp\appdata\local\mediaget2\mediaget.exe
  FirewallRules: [TCP Query User{79148BBC-E511-42E5-97E4-2D72659979A4}C:\users\hp\appdata\local\mediaget2\mediaget.exe] => C:\users\hp\appdata\local\mediaget2\mediaget.exe
  FirewallRules: [UDP Query User{3C1D62DE-9628-46B8-93DB-1CC80CF9FCB8}C:\users\hp\appdata\local\mediaget2\mediaget.exe] => C:\users\hp\appdata\local\mediaget2\mediaget.exe
  FirewallRules: [TCP Query User{9E081692-7811-4F71-B958-86B902055273}C:\users\hp\appdata\local\mediaget2\mediaget.exe] => C:\users\hp\appdata\local\mediaget2\mediaget.exe
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Женя ЕАН]

...единственное, я не запустил от имени администратора. Забыл. Повторить?

[mrak74]

...единственное, я не запустил от имени администратора. Забыл. Повторить?

Пока не надо. Что с проблемой ?

[Женя ЕАН]

С той поры ни разу не появилась реклама, а прошло более 40 минут уже, да. Боюсь сглазить, но пока все отлично! Огромное вам спасибо! Бесконечно благодарен!