Открываются вкладки с рекламой [not-a-virus:AdWare.Win32.Agent.hkfx, not-a-virus:AdWare.Win32.Agent.hkfy ]

[sazmir]

В хроме периодически сами открываются новые вкладки с рекламой. Компьютер работает медленоо (но это может быть и не связано).
На вирусы проверяли (без меня), он что-то нашел и удалил, но реклама все равно открывается.

[Info_bot]

Уважаемый(ая) sazmir, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Юзер\appdata\local\pricefountain\pricefountainw.exe', '');
 QuarantineFile('C:\Users\Юзер\appdata\local\pricefountain\pricefountain.exe', '');
 QuarantineFile('C:\Program Files (x86)\qUickshop\zhwCRyMt76lzW1.dll', '');
 QuarantineFile('C:\Program Files (x86)\quicksHop\JMuHaZ54tbD7sf.dll', '');
 QuarantineFile('C:\Program Files (x86)\frree2you\7fDXPIdLA3PoCB.dll', '');
 DeleteFile('C:\Program Files (x86)\frree2you\7fDXPIdLA3PoCB.dll', '32');
 DeleteFile('C:\Program Files (x86)\quicksHop\JMuHaZ54tbD7sf.dll', '32');
 DeleteFile('C:\Program Files (x86)\qUickshop\zhwCRyMt76lzW1.dll', '32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job', '64');
 DeleteFile('C:\Users\Юзер\appdata\local\pricefountain\pricefountain.exe', '32');
 DeleteFile('C:\Users\Юзер\appdata\local\pricefountain\pricefountainw.exe', '32');
 DeleteFileMask('C:\Users\Юзер\appdata\local\pricefountain', '*', true);
 DeleteFileMask('C:\Program Files (x86)\qUickshop', '*', true);
 DeleteFileMask('C:\Program Files (x86)\frree2you', '*', true);
 DeleteDirectory('C:\Users\Юзер\appdata\local\pricefountain');
 DeleteDirectory('C:\Program Files (x86)\qUickshop');
 DeleteDirectory('C:\Program Files (x86)\frree2you');
 DelBHO('{dac1af23-d542-4765-afbe-88a53e089bd6}');
 DelBHO('{7a185243-6e31-441a-b6f9-c87a6340da01}');
 DelBHO('{14245136-cb5b-4d4f-a717-860c063174f9}');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

[sazmir]

Спасибо, скрипты выполнил, карантин отправил. Лог этот нужен? Рекламу пока не вижу, надо подольше посмотреть.

- - - - -Добавлено - - - - -

Реклама осталась. Тормозит чуть меньше.

[Vvvyg]

Лог AdwCleaner где?

[sazmir]

Извините, туплю. Вот лог AdwCleaner.

[Vvvyg]

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Scan, по окончании сканирования уберите галочки на вкладках Folders и Registry со всех пунктов, где упоминаются Mail.Ru если используете соответствующие программы.

Затем нажмите Cleaning и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[sazmir]

Провел очистку Adv Cleaner, очистил историю во всех браузерах, очистил через CCleaner. Лог приложил. Пусть пользователь денек поработает, завтра отпишусь исчезла ли проблема.

[sazmir]

Это уже совсем странно, но реклама все еще вылазит.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению (можно все в одном архиве).

[sazmir]

Не могу загрузить архив с логами на форум, движок форума на размер ругается. Вот он по внешней ссылке: Логи

- - - - -Добавлено - - - - -

Проверил Авирой со свежим обновлением, что-то поймал, посмотрим.

Имя: ADWARE/MultiPlug.Gen4
Обнаружен: 13/09/2014
Вид: Рекламные программы
В реальных условиях: Да
Отмеченные факты заражения: От низкого до среднего
Потенциал распространения: Низкий
Потенциал повреждений: Низкий
Файл статистики: Нет
Версия VDF: 7.11.171.232
Версия ядра: 8.3.24.26

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF Extension: fereedellivEry - C:\Users\Юзер\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-03-23]
FF Extension: nItrrodeal - C:\Users\Юзер\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-03-23]
FF Extension: Dailypriuze - C:\Users\Юзер\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-03-23]
FF Extension: chieApe4alL - C:\Users\Юзер\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-03-23]
FF Extension: OfFeerdeal - C:\Users\Юзер\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-03-23]
CHR Extension: (cheeap4all) - C:\ProgramData\jnjjjkhjombbcoibpmjgpmoakjfalpfa\ []
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

В Opera и отключите расширения, которые сами не устанавливали, в т. ч. упомянутые выше (если есть).

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр - установите Java 8 Update 40.

Error: (04/02/2015 09:31:58 AM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (04/02/2015 09:31:57 AM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (04/02/2015 09:31:55 AM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (04/02/2015 09:31:53 AM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (04/02/2015 09:31:51 AM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (04/02/2015 09:31:49 AM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Уведомление

Обратите внимание, проблемы с жёстким диском

[sazmir]

В фаерфоксе расширения удалились, в хроме удалил вручную, оперу вообще удалил.

Джаву старую убрал, новую поставил ( необходима для работы).

Скрипт выполнил, лог прикладываю.

Жесткий диск эти ошибки уже года 2 выдает, не ухудшается. Но бэкап сделаю.

Будем проверять, отпишусь.

[Vvvyg]

Скачайте последнюю версию программы Victoria отсюда, распакуйте, запустите. На вкладке Standard выберите режим API, в списке дисков отметьте сначала системный диск, на вкладке Test выберите Read, Remap и нажмите Test.

Сообщите, сколько ошибок найдено.

Затем сделайте проверку и исправление ошибок файловой системы с галочкой "проверять и восстанавливать поврежденные сектора" на всех разделах, начиная с системного.

[sazmir]

Жесткий диск еще не проверял ( на ночь постараюсь поставить, это наверняка долго), а реклама снова вылазит.

[Vvvyg]

Сделайте новые логи Farbar Recovery Scan Tool (как в сообщении #10 написано).

[sazmir]

Вот скрин виктории, штатными средствами не стал пока проверку делать, долго. Нужна? Там один нечитаемый блок, не прогрессирует.

Логи фарбара по ссылке (опять большие). Перед проверкой фарбаром заменил авиру на ад-авэрэ, сделал полную проверку. Оно что-то поймала, но вкладки с рекламой открываются.

[Vvvyg]

Вот скрин виктории, штатными средствами не стал пока проверку делать, долго. Нужна? Там один нечитаемый блок, не прогрессирует.

Если заремапился - можно пока выдохнуть. Но проверку лучше сделать, после ремапа наверняка ошибки в файловой системе есть.

[QUOTE=sazmir;1257994]заменил авиру на ад-авэрэ, сделал полную проверку. Оно что-то поймала, но вкладки с рекламой открываются.

Поздравляю, вместо антивируса теперь... как бы мягко выразиться, не совсем антивирус

Хочу еще FreeDrWeb запустить. Сделать потом логи повторно, если что-то поймает?

Хуже не будет. Толку, боюсь, тоже

В каких браузерах реклама? Проверьте Internet Explorer, Chrome, Firefox. Opera в лог не попала, если только в ней - смотрите левые расширения.

[sazmir]

Ок, как до компа этого снова доберусь, запущу chkdisk.
Я знаю, что эта штука не антивирь, а авира в топе бесплатных, просто все подряд пробую.
Да, дрвэб ничего не видит.

Оперу удалил совсем, не нужна она. Рекламу в хроме видел, проверю в остальных тоже.

[sazmir]

Ничего от этих рекламных инжекторов не помогает. Переставить винду и не мучатся?