Не могу найти и удалить ...

[Ваня Тихомиров]

Не могу найти и удалить вот это: "JS/MailRu A" . На него реагирует Нод32,а затем начинается установка расширений типа "Закладки" и "Поиск". Скрин прикрепил. Вручную найти не могу к сожалению. Антивирус эту заразу блокирует, но потом начинается все сначала... scr.JPG
В ручную по этому пути нет ничего, посоветуйте как быть, не люблю когда что то без спроса ставится.

[Info_bot]

Уважаемый(ая) Ваня Тихомиров, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Ваня Тихомиров]

Выполнил... прикрепил.
Ранее создавал тему: https://virusinfo.info/showthread.php?t=221603&highlight=

Так вот, реклама в браузере вновь появилась.
Антивирус выключал во время сканирования утилитами.

[Vvvyg]

В каких браузерах реклама? У Вас их есть:
Edge
Google Chrome
Mozilla Firefox
Yandex

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CloseProcesses:
Toolbar: HKU\S-1-5-21-2132749735-2064043043-3702742174-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (Tampermonkey) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2018-03-17]
S3 efavdrv; \??\C:\WINDOWS\system32\drivers\efavdrv.sys [X]
2017-09-29 18:42 - 2017-09-29 18:42 - 000059904 _____ (Microsoft Corporation) C:\Users\User\eOOoL.exe
2017-09-29 18:42 - 2017-09-29 18:42 - 000059904 _____ (Microsoft Corporation) C:\Program Files (x86)\Common Files\UrFKEmINIo.exe
2019-01-24 20:42 - 2019-01-24 20:42 - 000017408 ____N (Red Hat®, Inc.) C:\Users\User\AppData\Local\Temp\jansi-32-2207044337592276872.dll
C:\Windows\SysWOW64\dwm.exe
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} =>  -> No File
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} =>  -> No File
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} =>  -> No File
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} =>  -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} =>  -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} =>  -> No File
ContextMenuHandlers1: [MRAICQCMenu] -> {7C9E7B90-88EC-4852-AC7A-C938268A5D04} =>  -> No File
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers1_S-1-5-21-2132749735-2064043043-3702742174-1001: [!VideoMASTER] -> {8A7D38FA-6E11-48FF-8315-8B9EA08F5314} =>  -> No File
ContextMenuHandlers3_S-1-5-21-2132749735-2064043043-3702742174-1001: [MailRuCloudContextMenu] -> {6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6} =>  -> No File
Task: {3465A065-BF20-499C-AA97-2372064D3D73} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {5419DDA2-5E99-4283-9964-4C5F10E7645D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {699D1B93-A64E-4A5B-BAF5-2CB6A9C6BD7D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {69AAC272-7723-4F24-85AC-499DD81E0ECD} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {82310BC7-CFFC-40AD-8C5A-95C98E66E238} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {84F59BD1-94BE-401D-AFC9-28052EDB3BC2} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {B3108117-A467-441E-8668-E99F8928B85D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {CF440187-042C-4B85-ADC9-C73836044828} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {E24E9FAA-2FC8-4E43-B78B-01713D65400A} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {E91F28EE-3E30-4CE4-A1BD-E85BD7CD3F8E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {F37D9607-7737-48B6-8D8A-06D82C41BF26} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {FB98157E-DEA5-48CB-88C5-3F0E088A978F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [148]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
HKLM\...\StartupApproved\StartupFolder: => "Kaspersky Software Updater Beta.lnk"
HKLM\...\StartupApproved\Run: => "SecurityHealth"
HKU\S-1-5-21-2132749735-2064043043-3702742174-1001\...\StartupApproved\Run: => "Appset Update"
HKU\S-1-5-21-2132749735-2064043043-3702742174-1001\...\StartupApproved\Run: => "QIP Internet Guardian"
HKU\S-1-5-21-2132749735-2064043043-3702742174-1001\...\StartupApproved\Run: => ""
HKU\S-1-5-21-2132749735-2064043043-3702742174-1001\...\StartupApproved\Run: => "KometaAutoLaunch_6632489EDE512831E64C7AB45B89EBC1"
HKU\S-1-5-21-2132749735-2064043043-3702742174-1001\...\StartupApproved\Run: => "GameXP AccessPoint"
HKU\S-1-5-21-2132749735-2064043043-3702742174-1001\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_9BAB471B03D368FCB9DADC4CBCF42FCC"
HKU\S-1-5-21-2132749735-2064043043-3702742174-1001\...\StartupApproved\Run: => "Sputnik Update"
FirewallRules: [{623087DE-0FA4-4E99-85EE-16EC5DC78ECE}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe (Microsoft Corporation)
FirewallRules: [{5AE67CC9-5571-44FA-90E4-819D1E421F5F}] => (Block) C:\games\atomega v49346\atomega.exe No File
FirewallRules: [{CB974688-3909-418E-B964-3217AE72D93B}] => (Block) C:\games\atomega v49346\atomega.exe No File
FirewallRules: [UDP Query User{BD8770BF-5587-44D1-AEF5-DB8897A53CC5}C:\games\atomega v49346\atomega.exe] => (Allow) C:\games\atomega v49346\atomega.exe No File
FirewallRules: [TCP Query User{B2AD0E2F-85C2-4056-A35C-03C489B27953}C:\games\atomega v49346\atomega.exe] => (Allow) C:\games\atomega v49346\atomega.exe No File
FirewallRules: [UDP Query User{6FD06222-1055-496C-94EC-5046B4DB647D}C:\games\terraria\terrariaserver.exe] => (Block) C:\games\terraria\terrariaserver.exe No File
FirewallRules: [TCP Query User{99431E33-21B9-4295-AAC3-2F722322E248}C:\games\terraria\terrariaserver.exe] => (Block) C:\games\terraria\terrariaserver.exe No File
FirewallRules: [TCP Query User{63FEBA17-B7DD-4CC9-B0C2-024539BDAD54}C:\program files (x86)\games\ultimate chicken horse\win64\ultimatechickenhorse.exe] => (Allow) C:\program files (x86)\games\ultimate chicken horse\win64\ultimatechickenhorse.exe No File
FirewallRules: [UDP Query User{4DCC9C5C-E0E2-4053-BB29-DB132111E598}C:\program files (x86)\games\ultimate chicken horse\win64\ultimatechickenhorse.exe] => (Allow) C:\program files (x86)\games\ultimate chicken horse\win64\ultimatechickenhorse.exe No File
FirewallRules: [TCP Query User{EB45CDCF-367D-4CE1-99A6-A0B9890F8923}C:\program files (x86)\games\ultimate chicken horse\win32\ultimatechickenhorse.exe] => (Block) C:\program files (x86)\games\ultimate chicken horse\win32\ultimatechickenhorse.exe No File
FirewallRules: [UDP Query User{CF7991F2-D9C6-40C5-A51C-A215D25157F8}C:\program files (x86)\games\ultimate chicken horse\win32\ultimatechickenhorse.exe] => (Block) C:\program files (x86)\games\ultimate chicken horse\win32\ultimatechickenhorse.exe No File
FirewallRules: [TCP Query User{69AB90D4-C539-48FB-9B02-1BEA64E5AED9}C:\games\toybox\toyboxturbos.exe] => (Block) C:\games\toybox\toyboxturbos.exe No File
FirewallRules: [UDP Query User{F168AC17-2502-4873-9E46-A9B85A2F3759}C:\games\toybox\toyboxturbos.exe] => (Block) C:\games\toybox\toyboxturbos.exe No File
FirewallRules: [TCP Query User{EC8DB9DE-E05D-4D62-BB84-3DD650418B44}C:\games\cardlife creative survival v0.1.60\cardlifegameserver.exe] => (Allow) C:\games\cardlife creative survival v0.1.60\cardlifegameserver.exe No File
FirewallRules: [UDP Query User{72929E89-D072-4AE7-9ECB-63E3764D1121}C:\games\cardlife creative survival v0.1.60\cardlifegameserver.exe] => (Allow) C:\games\cardlife creative survival v0.1.60\cardlifegameserver.exe No File
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Отключите расширения от Mail.Ru и все прочие, которыми не пользуетесь.

Очистите кеш и cookie:
в Хроме.
в Яндекс.Браузере куки и кэш.
Как очистить кэш Firefox

Сообщите, что с проблемой.

[Ваня Тихомиров]

"В каких браузерах реклама?" - только в Хроме, на главной странице Mail.ru. (внизу страницы подгружается)
В браузерах очистил кэш и куки, fix сделал как сказано, с применением указанного кода. Рекламы пока нет, но наверное может снова появится, я уже боюсь тему рано закрывать... Все расширения давно удалены, удалил агент mail.ru и ICQ не трогал только Облоко mail.ru

- - - - -Добавлено - - - - -

Автоматической загрузки расширений "Закладки" и "Поиск" после сброса Хрома на default больше пока не наблюдаю

- - - - -Добавлено - - - - -

Хром снова стал подгружать рекламу...

- - - - -Добавлено - - - - -

На какое то время помогает сброс настроек хрома, а потом снова. Я удалил хром полностью вручную, каждую папку , потом поставил заново и все равно есть эта зараза

[Vvvyg]

Сделайте лог сканирования Мalwarebytes.

[Ваня Тихомиров]

Надеюсь все верно прикрепил, больше ничего не делал, антивир. выключен.
У меня появилась мысль, а как мне проверить планировщик заданий на предмет выполнения вредных скриптов, т.к сегодня все чистил, браузер итд итп... Рекламы не было, а сейчас ровно в 00ч.00минут браузер хром мигнул и на главной странице маил.ру снова подгрузилась реклама в футтер Так вышло что я это увидел...

[Vvvyg]

Удалите в Мalwarebytes всё найденное.
Если реклама только на странице Mail.Ru, может, просто, не использовать её в качестве стартовой?

[Ваня Тихомиров]

Добрый день, удалить то я удаляю, но эти файлы снова появляются там... ни одного расширения нету..

[Vvvyg]

Сейчас во многих браузерах сервисы от Mail.Ru ставятся по умолчанию, возможно от них полностью избавиться не получится.
Новые логи FRST сделайте.

[Ваня Тихомиров]

Понятно, вы меня немного сейчас огорчаете.
Новые логи добавлены.

- - - - -Добавлено - - - - -

Я согласен что может не получится, но обычно есть такая "кнопка" на нее жмешь и эта рекламная лента "скрывается", а тут нету...Mail_default.JPG

[Vvvyg]

Если реклама только на странице Mail.ru - ничего не сделать, только подобрать блокировщик.

[Ваня Тихомиров]

adguard блокирует, но не всегда... ладно спасибо за помощь тогда, что то придумаем

[Vvvyg]

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.