Ads by AdFreeApp [not-a-virus:WebToolbar.Win32.Agent.axf ]

[antoban]

Добрый день! Помогите пожалуйста удалить Ads by AdFreeApp. При открытии нового окна в браузере выскакивает окно с рекламой почти на весь экран. Касперский, Др.веб и др. утилиты не помогли.

[Info_bot]

Уважаемый(ая) antoban, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

отключите антивирусную программу

Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://trovi.com?SearchSource=10&CUI=UN18939141839546910&UM=8&ctid=CT2896708
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.alawar.ru/?pid=11

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  TerminateProcessByName('c:\program files\tbccint\toolbarservice\toolbarservice.exe');
  StopService('TBSrv');
  QuarantineFile('C:\Users\Антон\AppData\LocalLow\UViOo\prxtbUVi0.dll','');
  QuarantineFile('C:\Users\Антон\AppData\Roaming\SendSey\SendSey.exe','');
  QuarantineFile('E:\IQIYI Video\LStyle\winio.sys','');
  QuarantineFile('c:\program files\tbccint\toolbarservice\toolbarservice.exe','');
  DeleteFile('C:\Program Files\Tbccint\ToolbarService\ToolbarService.exe','32');
  DeleteFile('E:\IQIYI Video\LStyle\winio.sys','32');
  DeleteService('WINIO');
  DeleteService('TBSrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[antoban]

Всё сделал. Файлы в вложении.

[mrak74]

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[antoban]

Добрый день. После сканирования хотел отправить вам отчет [R0], а он оказался за июнь, потому, что я уже пользовался этой утилитой. Я деинсталировал AdwCleaner, установил заново, но после сканирования появились только [S1] и [C1] после очистки. Что делать?

[mrak74]

но после сканирования появились только [S1] и [C1] после очистки

Давайте оба отчета.

[antoban]

Отчеты приложил.

[mrak74]

Что с проблемой ?

[antoban]

Проблема осталась.

[mrak74]

В каком(их) браузерах ?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[antoban]

Сейчас немного попробовал ie и firefox, в них вроде нет этой проблемы. Значит только в Chrome. Отчеты FRST прикрепил.

[mrak74]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  URLSearchHook: HKLM - UViOo Toolbar - {2ee842eb-8b82-44f0-9511-e4b67de54e44} - C:\Users\Антон\AppData\LocalLow\UViOo\prxtbUVi0.dll (ClientConnect Ltd.)
  URLSearchHook: HKU\S-1-5-21-3639943582-4027244203-2186745238-1001 - UViOo Toolbar - {2ee842eb-8b82-44f0-9511-e4b67de54e44} - C:\Users\Антон\AppData\LocalLow\UViOo\prxtbUVi0.dll (ClientConnect Ltd.)
  SearchScopes: HKU\S-1-5-21-3639943582-4027244203-2186745238-1001 -> {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=openpart5
  Toolbar: HKLM - UViOo Toolbar - {2ee842eb-8b82-44f0-9511-e4b67de54e44} - C:\Users\Антон\AppData\LocalLow\UViOo\prxtbUVi0.dll [2014-09-30] (ClientConnect Ltd.)
  Toolbar: HKU\S-1-5-21-3639943582-4027244203-2186745238-1001 -> UViOo Toolbar - {2EE842EB-8B82-44F0-9511-E4B67DE54E44} - C:\Users\Антон\AppData\LocalLow\UViOo\prxtbUVi0.dll [2014-09-30] (ClientConnect Ltd.)
  FF Extension: ATM2YOU - C:\Users\Антон\AppData\Roaming\Mozilla\Firefox\Profiles\lfjbyokt.default-1434439668792\Extensions\{8DBC5A4E-A987-11E4-AF59-ABB91D5D46B0}.xpi [2015-07-17]
  FF Extension: No Name - C:\Users\Антон\AppData\Roaming\Mozilla\Firefox\Profiles\lfjbyokt.default-1434439668792\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670} [not found]
  CHR dev: Chrome dev build detected! <======= ATTENTION
  CHR Extension: (Easy Auto Refresh) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\aabcgdmkeabbnleenpncegpcngjpnjkc [2015-06-28]
  CHR Extension: (Angry Birds) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj [2013-09-22]
  CHR Extension: (Google Drive) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2013-01-17]
  CHR Extension: (YouTube) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2013-01-17]
  CHR Extension: (SurfEarner) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjaibhjmfjjhbifincjcecomobflhdjf [2015-04-10]
  CHR Extension: (ATM2YOU) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckncpimagpplmigbfadkhdddgdfahkmk [2015-06-23]
  CHR Extension: (Google Search) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2013-01-17]
  CHR Extension: (Angry Birds HD) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\fmcnfpgdhdebkgndappmmmanljolmgec [2013-02-11]
  CHR Extension: (TinEye Reverse Image Search) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\haebnnbpedcbhciplfhjjkbafijpncjl [2015-08-17]
  CHR Extension: (Teaser.bz) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\hlfmaocjcnngilccakjonpgccdgmleif [2015-04-11]
  CHR Extension: (Ваш профиль) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\llboamfdajfkeaggidmbliboidhibanp [2015-04-14]
  CHR Extension: (Hi-Million) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbgioakfejjcobokglahkdenenpgioej [2015-07-31]
  CHR Extension: (Google Wallet) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-23]
  CHR Extension: (Gmail) - C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2013-01-17]
  CHR HKLM\...\Chrome\Extension: [aapcjgafljhokjfbeebpiddfjpjjcdem] - http://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [akkhkcocfnopiccplnimkefmaejepdlj] - http://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [bagkmcapnndnncpcocmfplbdejejlgig] - http://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [hbpohbeflieibmcmohdnhfkigfmkmfgd] - http://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [lonndeeklpobbkjaacljjjkddafbbbfa] - http://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - http://clients2.google.com/service/update2/crx
  EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[antoban]

Проблема осталась.

[mrak74]

Зайдите в google chrome в адресной строке введите

Код:

chrome://extensions/

, снимите галочки со всех имеющихся расширений, проверьте проблему. Начните включать расширения по одному, проверяйте проблему. На каком расширении проблема снова появилась ?

[antoban]

Проблема появляется при отключенных расширениях тоже.

[mrak74]

Сделайте полный образ автозапуска uVS

[antoban]

Добрый вечер. Извините, сегодня не было доступа к РС. Завтра я дома. Требуемый отчет приложил.

[mrak74]

Выполните скрипт в uVS Как выполнить скрипт в uVS

Код:

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\TEMP\DOWNLOADMANAGER.EXE
delall %SystemDrive%\PROGRAM FILES\EPOCHTA EXTRACTOR BY ERROR\EPOCHTA EXTRACTOR\EMH.URL
zoo %SystemDrive%\USERS\АНТОН\APPDATA\ROAMING\SENDSEY\SENDSEY.EXE
delall %SystemDrive%\USERS\АНТОН\APPDATA\ROAMING\SENDSEY\SENDSEY.EXE
zoo %SystemDrive%\USERS\АНТОН\APPDATA\ROAMING\MICROSOFT\INSTALLER\{76E99AB6-7C1D-4C12-ADC2-9BE7EB9A241C}\_00CAA8327B637E7240784B.EXE
zoo %SystemDrive%\USERS\АНТОН\APPDATA\ROAMING\MICROSOFT\INSTALLER\{76E99AB6-7C1D-4C12-ADC2-9BE7EB9A241C}\_AA7634352B97F3BBE710C9.EXE
zoo %SystemDrive%\USERS\АНТОН\APPDATA\ROAMING\MICROSOFT\INSTALLER\{76E99AB6-7C1D-4C12-ADC2-9BE7EB9A241C}\_B6AB36FF8BC886BEB73B95.EXE
delall %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\ALAWAR\9\8070\ИГРЫ ALAWAR.URL
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAPCJGAFLJHOKJFBEEBPIDDFJPJJCDEM\8.10.0_0\ЭЛЕМЕНТЫ ЯНДЕКСА: БЕЗОПАСНОСТЬ
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HBPOHBEFLIEIBMCMOHDNHFKIGFMKMFGD\8.10.0_0\ЭЛЕМЕНТЫ ЯНДЕКСА: КНОПКА Я
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BAGKMCAPNNDNNCPCOCMFPLBDEJEJLGIG\8.10.0_0\ЭЛЕМЕНТЫ ЯНДЕКСА: ПЕРЕВОД
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LONNDEEKLPOBBKJAACLJJJKDDAFBBBFA\8.10.0_0\ЭЛЕМЕНТЫ ЯНДЕКСА: ПОЧТА
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.10.20
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.11.22
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.12.24
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.13.26
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.14.28
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.15.30
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.16.32
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.17.34
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.18.36
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.19.38
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.20.40
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.21.42
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.22.44
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.23.46
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.24.48
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.25.50
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.26.52
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.27.54
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.28.56
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.5.10
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.6.12
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.7.14
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.8.16
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\EXTENSIONS\CHROME\APP\37.1329.9.18
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AABCGDMKEABBNLEENPNCEGPCNGJPNJKC\3.8_0\EASY AUTO REFRESH
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AKNPKDFFAAFGJCHAIBGEEFBGMGEGHLOJ\1.5.0.8_0\ANGRY BIRDS
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BLPCFGOKAKMGNKCOJHHKBFBLDKACNBEO\4.2.7_0\YOUTUBE
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CJAIBHJMFJJHBIFINCJCECOMOBFLHDJF\2.0.2_0\SURFEARNER
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CKNCPIMAGPPLMIGBFADKHDDDGDFAHKMK\1.0.4_0\ATM2YOU
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FMCNFPGDHDEBKGNDAPPMMMANLJOLMGEC\1.1_0\ANGRY BIRDS HD
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HAEBNNBPEDCBHCIPLFHJJKBAFIJPNCJL\1.1.4_0\TINEYE REVERSE IMAGE SEARCH
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HLFMAOCJCNNGILCCAKJONPGCCDGMLEIF\1.0.4_0\TEASER.BZ
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LLBOAMFDAJFKEAGGIDMBLIBOIDHIBANP\1.0.1_0\P2PBZ
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MBGIOAKFEJJCOBOKGLAHKDENENPGIOEJ\0.9.8.1_0\HI-MILLION
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODPCCDGKMIICGOCEPIJNAEIHJNJNOMCA\1.0.0_0\LINKSWIFT
delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/CLUBPENGUIN/PLAY.ASPX?DP=HPBNB1C11
delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/DARKORBIT/PLAY.ASPX?DP=HPBNB1C11&BRAND=HP
delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/HABBOHOTEL/PLAY.ASPX?DP=HPBNB1C11&CODE=HP
delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/SEAFIGHT/PLAY.ASPX?DP=HPBNB1C11&BRAND=HP
delref HTTP://REDIRECT.HP.COM/SVS/RDR?C=NONE&BD=ALL&TP=DTICON&PF=CMDT&LOCALE=WW_WW&S=HP_VIRTUALROOM&TYPE=4
delref HTTP://WWW.KLCCONSULTING.NET/SMAC/SMAC_FAQ.HTM
delall %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\45.0.2454.85\RESOURCES.PAK
deltmp
restart
czoo

Сделайте новый полный образ автозапуска uVS

[antoban]

Сделал. Перестал открываться браузер Chrome. Сейчас я на Firefox. Карантин отправил. Образ автозапуска не получается прикрепить, пишет что-то там превысил предел на форуме.