Помогите! Реклама в браузере и на рабочем столе! [not-a-virus:WebToolbar.Win32.Neobar.f ]

**хотарумирай** · 14.08.2017, 14:28

В Хроме постоянно на всех сайтах всплывает куча рекламы, а также на рабочем столе есть рекламные ярлыки "Казино", "Заработок онлайн" и "World Of Warships". Выполнила сканирование в Autologger, архив прилагаю. Надеюсь на вашу помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.08.2017, 14:29

Уважаемый(ая) хотарумирай, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**хотарумирай** · 15.08.2017, 13:35

Пожалуйста, обратите внимание на мою проблему! Без вас я не справлюсь

**Vvvyg** · 17.08.2017, 06:55

Удалите программы Mp3tagApp, ToDoChromeList и Служба автоматического обновления программ.

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe');
 TerminateProcessByName('c:\users\Камила\appdata\roaming\mp3tagapp\mp3tagapp.exe');
 StopService('Updater.Mail.Ru');
 QuarantineFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '');
 QuarantineFile('c:\users\Камила\appdata\roaming\mp3tagapp\mp3tagapp.exe', '');
 QuarantineFile('C:\Users\Камила\AppData\Roaming\daemon2.exe', '');
 DeleteFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '32');
 DeleteFile('c:\users\Камила\appdata\roaming\mp3tagapp\mp3tagapp.exe', '32');
 DeleteFile('C:\Users\Камила\AppData\Roaming\daemon2.exe', '32');
 DeleteFile('C:\Users\Камила\Favorites\Links\Интернет.url', '32');
 DeleteFile('C:\Users\Камила\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteFile('Server.exe', '32');
 DeleteService('Updater.Mail.Ru');
 DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
 DeleteFileMask('c:\users\камила\appdata\roaming\mp3tagapp', '*', true);
 DeleteDirectory('c:\program files (x86)\mail.ru');
 DeleteDirectory('c:\users\камила\appdata\roaming\mp3tagapp');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Daemon');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Mp3tagApp');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог Malwarebytes AdwCleaner.

**хотарумирай** · 17.08.2017, 11:04

Сделала.

**Vvvyg** · 17.08.2017, 18:46

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению. Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

Если остались - сделайте такой лог.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

**хотарумирай** · 18.08.2017, 12:03

Проблема не исчезла.

**Vvvyg** · 18.08.2017, 21:22

Удалите программу Web Viewer Pro.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\...\Winlogon: [Userinit] C:\Users\Камила\AppData\Local\Kometa\StartButton\kometastartvx64.exe,C:\Windows\system32\userinit.exe,
ShortcutTarget: PRTG Enterprise Console.lnk -> C:\Program Files (x86)\PRTG Network Monitor\PRTG Enterprise Console.exe (No File)
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=843051
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BFB4ECEC2-B52E-4E5C-BB40-3BF26670471A%7D&gp=843056
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Камила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-07-16]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Камила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-07-16]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Камила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-07-16]
CHR HomePage: Default -> mail.ru
CHR NewTab: Default ->  Not-active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23
CHR DefaultSearchKeyword: Default -> inline.go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Mail.Ru) - C:\Users\Камила\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhjhnafpiilpffhglajcaepjbnbjemci [2017-07-18]
CHR Extension: (Mail.Ru) - C:\Users\Камила\AppData\Local\Google\Chrome\User Data\Default\Extensions\eioddfaepdoeifbhjphfefgipcjcdieo [2016-05-22]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Камила\AppData\Local\Google\Chrome\User Data\Default\Extensions\epgjfmblhacacphaljkdcjllkomdcjpc [2017-07-16]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Камила\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcadgijmedbfgciegjomfpjcdchlhnif [2017-07-16]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Камила\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-11-19]
CHR Extension: (Быстрый поиск) - C:\Users\Камила\AppData\Local\Google\Chrome\User Data\Default\Extensions\oilhebpjhnjaeghedpjnmajajlcfdjgc [2017-07-30]
CHR Extension: (Mail.Ru) - C:\Users\Камила\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2017-05-08]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Камила\AppData\Local\Google\Chrome\User Data\Default\Extensions\ppoilmfkbpckodoifdlkmkepcajfjmhl [2016-05-22]
CHR Extension: (ChromeWebViewer) - C:\Users\Камила\AppData\Roaming\extensions\extension_chrome [2016-10-24]
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oilhebpjhnjaeghedpjnmajajlcfdjgc] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
R1 webviewerprocontroller; C:\WINDOWS\system32\drivers\webviewprocontroller.sys [78632 2017-03-24] (Web Viewer Pro)
2017-07-01 10:24 - 2017-03-24 20:06 - 000078632 _____ (Web Viewer Pro) C:\WINDOWS\system32\Drivers\webviewprocontroller.sys
2017-06-26 19:42 - 2017-06-26 19:42 - 000000000 ____H C:\Users\Камила\AppData\Local\BITF340.tmp
Task: {B27D1C48-ADD1-4D68-8D36-AEEBDF6D67D5} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
C:\Users\Камила\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Warships\Деинсталлировать World of Warships.lnk
Shortcut: C:\Users\Камила\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Деинсталлировать War Thunder.lnk -> C:\Program Files (x86)\yuio\WarThunder\unins000.exe (No File) <==== Cyrillic
Shortcut: C:\Users\Камила\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Журнал ошибок.lnk -> C:\Program Files (x86)\yuio\WarThunder\.game_logs (No File) <==== Cyrillic
Shortcut: C:\Users\Камила\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Повторы боев.lnk -> C:\Program Files (x86)\yuio\WarThunder\Replays (No File) <==== Cyrillic
Shortcut: C:\Users\Камила\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Скриншоты.lnk -> C:\Program Files (x86)\yuio\WarThunder\Screenshots (No File) <==== Cyrillic
C:\Users\Public\Desktop\Casino Super Slots.lnk
C:\Users\Камила\AppData\Roaming\NextIconInstaller\22\Casino Super Slots.exe
C:\Users\Public\Desktop\War Thunder.lnk
C:\Users\Камила\AppData\Roaming\NextIconInstaller\3\War Thunder.exe
C:\Users\Public\Desktop\Warface.lnk
C:\Users\Камила\AppData\Roaming\NextIconInstaller\17\Warface.exe
C:\Users\Public\Desktop\World Of Tanks.lnk
C:\Users\Камила\AppData\Roaming\NextIconInstaller\2\World Of Tanks.exe
C:\Users\Public\Desktop\World Of Warships.lnk
C:\Users\Камила\AppData\Roaming\NextIconInstaller\6\World Of Warships.exe
C:\Users\Public\Desktop\Заработок Online.lnk
C:\Users\Камила\AppData\Roaming\NextIconInstaller\24\Заработок Online.exe
C:\Users\Камила\Favorites\Links\Интернет.url
C:\Users\Камила\Desktop\Искать в Интернете.url
HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\...\StartupApproved\Run: => "Daemon"
HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\...\StartupApproved\Run: => "ZetaGamesViewer"
HKU\S-1-5-21-2251613541-3730700376-3253232920-1001\...\StartupApproved\Run: => "ZetaGamesNews"
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (в папку загрузок в Вашем случае).

Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Если не поможет - отключите все расширения в Chrome, если пропадёт реклама - подключайте по одному, проверяйте эффект. Расширения часто подменяют, какое именно - понять можно только перебором.
Сообщите результат.

**хотарумирай** · 18.08.2017, 21:36

Вадим, спасибо Вам! С рабочего стола все рекламные ссылки исчезли, по поводу браузера пока не могу сказать, но думаю все будет хорошо!

- - - - -Добавлено - - - - -

Вот итог

**Vvvyg** · 18.08.2017, 22:06

Запустите AdwCleaner и нажмите Файл (File) -> Удалить (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 18.08.2017, 22:16

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\users\камила\appdata\roaming\daemon2.exe - not-a-virus:WebToolbar.Win32.Neobar.f ( DrWEB: Trojan.Amonetize.11311, AVAST4: Win32:Adware-DDG [Adw] )

Помогите! Реклама в браузере и на рабочем столе! [not-a-virus:WebToolbar.Win32.Neobar.f ] (заявка № 214626)

Опции темы