Реклама

[Simion Gutu]

Здравствуйте, при работе компьютера очень часто спустя какое-то время появляется реклама. Причем браузер просто перенаправляется на сайт с рекламой. При нажатии кнопки назад браузер не возвращается на исходный сайт, а перенаправляется на другой рекламный. И работу нужно начинать сначала. Помогите пожалуйста.

[Info_bot]

Уважаемый(ая) Simion Gutu, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Валентина\appdata\roaming\svchost.exe');
 TerminateProcessByName('c:\users\Валентина\appdata\roaming\taskmgr.exe');
 QuarantineFile('c:\users\Валентина\appdata\roaming\svchost.exe', '');
 QuarantineFile('c:\users\Валентина\appdata\roaming\taskmgr.exe', '');
 DeleteFile('c:\users\Валентина\appdata\roaming\svchost.exe', '32');
 DeleteFile('c:\users\Валентина\appdata\roaming\taskmgr.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Simion Gutu]

Здравствуйте.. Спасибо большое, я сделал что вы сказали.. Пока за час работы появилось всего одно с рекламой. Раньше было чаще.

[regist]

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

где ссылка?

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
ExecuteAVUpdate;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Валентина\appdata\roaming\svchost.exe', '');
 DeleteFile('C:\Users\Валентина\appdata\roaming\svchost.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "httppine-thisorgwebssm" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{A0B1E369-3CC5-4F34-98C8-3818E7894D44}" /F', 0, 15000, true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам.

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Simion Gutu]

Здравствуйте. Простите, я не особо опытный пользователь, может что-то просмотрел. Надеюсь, эта та ссылка: http://virusinfo.info/showthread.php?t=208725 .Вложение 654972AdwCleaner[S0].txt

- - - - -Добавлено - - - - -

Извините, по-моему еще этот файл

[regist]

Программы/расширения от Mail.ru используете?

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

var PathAutoLogger, CMDLine : string;

begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
    if FolderIsEmpty(PathAutoLogger+'CrashDumps')
        then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
        else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
        else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.7z из папки с AutoLogger пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут.

- - - - -Добавлено - - - - -

+
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[Simion Gutu]

Здравствуйте, тот скрипт что вы указали первым выполняется за секунду, но файла REPORT я не нахожу. Приложения от Мэйл.ру не использую, но компьютером пользуются мать и сестра и эти приложения постоянно появляются. Я уже устал с ними бороться. Предполагаю, что и проблемы с компом и с рекламой именно из-за этих приложений. Спасибо заранее.

[regist]

1) ПОИСК И СТАРТОВАЯ — ЯНДЕКС - тоже сознательно не ставили?

2) Unity Web Player - если сами не ставили, то деинсталируйте.

3) Амиго, Служба автоматического обновления программ - деинсталируйте.

4) Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
zoo %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\ROAMING\QIPAPP2\QIPAPP.EXE
bl 67D4387BE3B11A2A2FAD70D49F8D3554 374784
addsgn 1A7A739A5583CC8CF42BFB3A88A212FA30E64CB789056A707AD6AD0C11D61945271703A82B0D2D082BD07B8A36A608FA201CBDF9B95B5C082E77A445D0EED7AF 8 Trojan.StartPage1.34289 [DrWeb]

zoo %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\ROAMING\ALFSVWJB\SIRHCQNGR.EXE
bl CA63D7A0D2D3757827C65F0A54A5485F 271872
addsgn 1AA30D9A55835A8CF42B831567C81271070914F2FDED9C9088B7C9F424D5428CE0AFC7533E555EF13984849F85AE4DF27DDF2BCA44DEB02CEE24F17990BB2372 8 Trojan-Ransom.Win32.Blocker.jxfh

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LLISECONC2.EXE
bl 148B330877936977C69DF6A34DC1E841 148480
addsgn 1A1C039A55835A8CF42BF83A10EC1A53CD83FAF689AAF716F0C3C539908F283858FF32BAC1AA1E890BBB74EA422589117237099FAA2533EC6D4C545A9835E233 8 Trojan.Win32.Garrun.hby [Kaspersky]

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LLISECONC8.EXE
bl BFB99800AB034FF7F01BEF8D2681A244 182784
addsgn 1AE9079A55835A8CF42BF83A10EC1A53CD8FD6F689AAF7FBF5C3C539908F283858FFD3A2C1AA1E890BBB74EA422589117237E887AA2533EC6D4C545A9835E233 8 Trojan.Win32.Garrun.hfc [Kaspersky]

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LJA7SHAYNE8.EXE
bl C284668692638FE28DD6DB07BD07E1A2 185344
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LISECOSYS.EXE
bl 4282299786E39BCA9D51E40D3850B626 148992
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-13633451\SYSAEWAZBYS32.EXE
bl E2825778680B40B65717A8FA32E4F8E6 148480
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LLISECONC4.EXE
bl D1AFFC562ABDFBFB82DCBE753CF97054 149504
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LISECEWWEVW.EXE
bl 840FBEB54B35BC29815A6BBFD6E94783 147968
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\SCVHCHOSTC6600A.EXE
bl D5E1A36C2D8CC0051CA99F2AD9578264 165888
addsgn 1A1D2E9A55835A8CF42B16510E8A12C6842AF7B5897FDF2EEFD79BC9576E714E231728510593E04EA046273F4D554990798F00E10FDAB0A9ED2EFD8C5BFD6073 8 Trojan.Win32.Garrun.hcg [Kaspersky]

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1965988451\SCVHCHOST932.EXE
bl A464A43DF8FD7551F1FB808B0DC98188 166400
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1965798451\SCVHCHOST732.EXE
bl AB0D6CF503109B676D0D9C898FEACB78 164864
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1965298451\SCVHCHOST232.EXE
bl C46B863BCF5E96CDD64DAE9961EAA276 167424
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\SYSTEMWINDOWS32.EXE
bl 00834655B021A02BEFB8DDC382BAE700 168448
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\SCVHCHV00AD.EXE
bl 03929371E4C2CBA47EF45B7F8AB6E26A 163328
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-6985472110112323\SYSTEEZ.EXE
bl FF4311878B9052125CDECC6B5D9FA69E 196096
addsgn 1A19F79A55835A8CF42BF83A10EC1A53CD83FAF689AAF70B04C3C539908F283858FF32BAC1AA1E890BBB74EA422589117237099FAA2533EC6D4C545A9835E233 8 Trojan.Win32.Garrun.hei [Kaspersky]

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LLISECONC8A.EXE
bl 09CAFBD923CF59D34BA6195AAB1123E4 182784
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LJA7SHAYNE6.EXE
bl 30D6D923D6D7313BF75292B2C9FCF0F3 185344
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LJA7SHAYNE7.EXE
bl 3F486BFE48135633D68A0404D1DFFB03 181760
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196852800\LJA7SHAYNE4.EXE
bl 15896AD09DE1D88B90C409F4A504AE10 184320
zoo %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\ROAMING\MICROSOFT\ISWCSVRJ\FEHRDHIH.EXE
bl 121EE40C540A65F0EAEFF833F9CE2AD7 114858
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC29671C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A4140472251B 8 Trojan.Win32.Inject.adnqf [Kaspersky]

zoo %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\ROAMING\MICROSOFT\FVDGWJHW\FEHRDHIH.EXE
bl C136DF2DA75104BF90F287893FA52960 183296
zoo %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\ROAMING\MICROSOFT\GDFCADTI\FEHRDHIH.EXE
bl 77F45D9AA088D1146B0990EB128BEBD4 12288
addsgn A76592715251492D1E94AECC0C16BD8E1A30E94B42C52E6CA19D2EBB6BD307596317BE3F28FD16761A94A016B1FD4EC17856FD3255A7D8B692BC9B1ED3227B22 8 HEUR:Trojan.Win32.Generic [Kaspersky]

zoo %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\ROAMING\TASKMGR.EXE
bl F122CA52383C93A95C7620C842A7E082 274944
addsgn 925277AA196AC1CC0B345D4E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 RiskTool.Win32.BitCoinMiner.gen

chklst
delvir

delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1968138750\BACKWINDOW332.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1968138750\BACKWINDOW432.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1968138750\BACKWINDOW532.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196818750\BACKWINDOW132.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196818750\BACKWINDOW232.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196818750\BACKWINDOW32.EXE
delall %SystemDrive%\USERS\872B~1\APPDATA\LOCAL\TEMP\2A8F.TMP.EXE
delall %SystemDrive%\USERS\872B~1\APPDATA\LOCAL\TEMP\8158.TMP.EXE
delall %SystemDrive%\USERS\872B~1\APPDATA\LOCAL\TEMP\84FF.TMP.EXE
delall %SystemDrive%\USERS\872B~1\APPDATA\LOCAL\TEMP\C8E3.TMP.EXE
delall %SystemDrive%\USERS\872B~1\APPDATA\LOCAL\TEMP\D32.TMP.EXE
delall %SystemDrive%\USERS\872B~1\APPDATA\LOCAL\TEMP\D37E.TMP.EXE
delall %SystemDrive%\USERS\872B~1\APPDATA\LOCAL\TEMP\F252.TMP.EXE
delall %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\LOCAL\MAIL.RU\SPUTNIK\PTLS\MAILRUHOMESEARCH.EXE
zoo %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\ROAMING\SVCHOST.EXE
bl 25EB56D13913B8E86C37B8789B34AF02 10240
delall %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\ROAMING\SVCHOST.EXE
delall HTTP://MAIL.RU/CNT/10445?GP=811021
delall HTTP://MAIL.RU/CNT/10445?GP=820321
delall HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B086C1FDE-D94F-4A6A-A5D8-1498F78BFB3A%7D&GP=811022
delall %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.1.30_1\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_1\ПОИСК MAIL.RU
zoo D:\FULL DOWNLOADS\ULTRAISO.V9.6.5.3237\ULTRAISO.V9.6.5.3237.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
deltmp
czoo
restart

5)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

7) Сделайте свежий образ автозапуска.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены