Реклама в браузере.

[Филипп Штукин]

Открываются рекламные вкладки в браузере . Лог прилагаю
Спасибо.

[Info_bot]

Уважаемый(ая) Филипп Штукин, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Сомнение]

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

2. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

3. Сделайте и пришлите в ответном сообщении лог AdwCleaner.

[Филипп Штукин]

Я так понимаю это все ? В чем было дело ? Где пряталась эта дрянь ?
В прошлый раз планировщик windows запускал вредоносную задачу, но в этот раз, я отключил все сомнительные задачи, однако это не помогло.

P/S Добавил скриншот, окно с рекламой в рамке с видео это нормально ? Вроде так не должно быть.. Появляются такие окна постоянно при просмотре видео на разных сайтах. Закрываешь , проходит пять минут и снова это окно всплывает. Мне кажется это тоже зараза.

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

Если остались - сделайте такой лог.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Филипп Штукин]

Сделал

[Vvvyg]

Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> @Mail.Ru
2017-03-21 14:46 - 2016-06-27 16:57 - 2187992 _____ (Mail.Ru) C:\Users\MarsM\AppData\Local\Temp\6fd9-bed1-8ab3-6bdb.exe
2016-06-27 02:40 - 2016-06-27 02:40 - 0000000 _____ () C:\Users\MarsM\AppData\Local\Temp\6xOANF7RwLAc.exe
2016-08-09 20:35 - 2017-02-16 20:15 - 52665336 _____ (Mail.Ru) C:\Users\MarsM\AppData\Local\Temp\amigo_setup.exe
2017-02-26 02:28 - 2017-02-26 02:04 - 0799744 ____N () C:\Users\MarsM\AppData\Local\Temp\B735.tmp.exe
2016-09-24 13:39 - 2016-09-24 13:39 - 0102912 _____ () C:\Users\MarsM\AppData\Local\Temp\c0.exe
2016-09-24 14:39 - 2016-09-24 14:39 - 0102912 _____ () C:\Users\MarsM\AppData\Local\Temp\c1.exe
2016-06-27 02:34 - 2016-06-27 02:34 - 0104072 ____N () C:\Users\MarsM\AppData\Local\Temp\CztDkAifsnTn.exe
2016-06-27 02:40 - 2016-06-27 02:40 - 0000000 _____ () C:\Users\MarsM\AppData\Local\Temp\DBi3ndjyw62q.exe
2017-02-26 02:11 - 2017-02-26 02:04 - 0799744 ____N () C:\Users\MarsM\AppData\Local\Temp\E1AE.tmp.exe
2017-02-20 20:55 - 2014-07-01 13:20 - 11719232 _____ (Foxit Corporation) C:\Users\MarsM\AppData\Local\Temp\Foxit Reader Updater.exe
2016-06-27 02:40 - 2016-06-27 02:40 - 0000000 _____ () C:\Users\MarsM\AppData\Local\Temp\J2ouOCIIgDEm.exe
2016-06-27 02:40 - 2016-06-27 02:40 - 0000000 _____ () C:\Users\MarsM\AppData\Local\Temp\LaebEzBbU6dV.exe
2016-12-15 12:06 - 2016-12-15 12:06 - 2458672 _____ (The OpenSSL Project, http://www.openssl.org/) C:\Users\MarsM\AppData\Local\Temp\libeay32.dll
2016-06-27 02:35 - 2016-06-27 02:37 - 2182664 ____N (${COMPANY_NAME}) C:\Users\MarsM\AppData\Local\Temp\Lt2QhoaMoGwu.exe
2016-06-27 02:40 - 2016-06-27 02:40 - 0000000 _____ () C:\Users\MarsM\AppData\Local\Temp\LZ7G3sqMR0vT.exe
2016-06-27 02:38 - 2016-06-27 02:38 - 10450160 _____ (DotC United Inc) C:\Users\MarsM\AppData\Local\Temp\MPCSetup_4.exe
2016-12-15 12:06 - 2016-12-15 12:06 - 0970912 _____ (Microsoft Corporation) C:\Users\MarsM\AppData\Local\Temp\msvcr120.dll
2016-06-27 02:36 - 2016-06-27 02:36 - 0000000 _____ () C:\Users\MarsM\AppData\Local\Temp\nEQNjWlBl8Zo.exe
2016-06-27 02:36 - 2016-06-27 02:36 - 0000000 _____ () C:\Users\MarsM\AppData\Local\Temp\nNaG2d2LsCGq.exe
2016-06-27 02:08 - 2016-06-27 02:08 - 0001536 _____ () C:\Users\MarsM\AppData\Local\Temp\NOSEventMessages.dll
2017-02-14 15:04 - 2017-02-14 15:04 - 55470072 _____ (YANDEX LLC) C:\Users\MarsM\AppData\Local\Temp\Setup-yabrowser.exe
2017-05-10 22:13 - 2017-05-10 22:13 - 0001024 _____ () C:\Users\MarsM\AppData\Local\Temp\SkypeSetup.exe
2016-12-15 12:06 - 2016-12-15 12:06 - 0772672 _____ () C:\Users\MarsM\AppData\Local\Temp\sqlite3.dll
2016-06-27 02:34 - 2016-06-27 02:34 - 0078336 ____N () C:\Users\MarsM\AppData\Local\Temp\u4HOsNdhaSth.exe
2017-02-26 21:57 - 2017-02-12 16:35 - 0115329 _____ () C:\Users\MarsM\AppData\Local\Temp\Uninstall.exe
2017-05-08 23:22 - 2017-05-21 21:45 - 13210112 _____ () C:\Users\MarsM\AppData\Local\Temp\war3map.dll
2017-03-21 14:45 - 2016-04-18 19:59 - 0237920 _____ () C:\Users\MarsM\AppData\Local\Temp\YandexWorking.exe
2016-06-27 02:30 - 2016-06-27 02:32 - 4423896 ____N () C:\Users\MarsM\AppData\Local\Temp\ZNqjBUvEZCCT.exe
2017-01-27 16:53 - 2017-01-27 16:53 - 62497784 _____ (YANDEX LLC) C:\Users\MarsM\AppData\Local\Temp\{A9632B77-3442-41DD-92B1-84AA7F3B3FD6}.exe
Task: {D718DDCC-E03E-4825-B420-07DC54E95EFF} - \PowerMonitor -> No File <==== ATTENTION
FirewallRules: [{83720B93-4E2E-4092-84EA-CE5BB861A4B1}] => (Allow) C:\Users\MarsM\AppData\Local\Temp\MPCOnline\MPCDownload.exe
FirewallRules: [{E844CD24-C8A0-4561-8DD4-76606949B7EE}] => (Allow) C:\Users\MarsM\AppData\Local\Temp\MPCOnline\MPCDownload.exe
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подтвердите, что проблема решена.

[Филипп Штукин]

Проблема не решена

[Vvvyg]

Проверьте, реклама только в Хроме, или в Internet Explorer? Если в обоих браузерах - проверяйте настройки DNS в роутере. Если только в Хроме, отключите все расширения, если пропадёт реклама - подключайте по одному, проверяйте эффект. Расширения часто подменяют, какое именно - понять можно только перебором.
Сообщите результат.

[Филипп Штукин]

Спасибо за помощь!
После отключения плагинов от гугл (якобы от гугл) рекламные вкладки перестали открываться.
В них все дело было ? Могу я подробнее узнать, что произошло ?

[Vvvyg]

Подмена, на то и расчёт, что на расширение "от гугла" не подумают.

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.