Реклама в браузерах , в хроме расширение Акционные купоны. 2.0.2

[Илья Шатилов]

Добрый вечер сегодня возникла такая проблема, во всех браузерах появляется реклама, проверка лечащей утилитой от dr web не помогла , В списках расширений гугл хрома отображается Акционные купоны. 2.0.2 ( отключить его не получается )
помогитеееееееееее

файл virusinfo_syscheck.zip я не нашел

[Info_bot]

Уважаемый(ая) Илья Шатилов, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~1\GROOVE~1\Dejrewhi.bat','');
 QuarantineFile('C:\ProgramData\RenewalService\Service.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\gmsd_ru_005010240\upgmsd_ru_005010240.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','');
 QuarantineFile('C:\Program Files\Sound+\Sound+.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\daemon2.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Birds\birds365.exe','');
 DeleteService('TSSKX64');
 DeleteService('tsnethlpx64');
 DeleteService('TSDefenseBt');
 DeleteService('TS888x64');
 DeleteService('TFsFlt');
 DeleteService('TAOAccelerator');
 DeleteService('softaal');
 DeleteService('QQSysMonX64');
 DeleteService('QMUdisk');
 SetServiceStart('TAOKernelDriver', 4);
 DeleteService('TAOKernelDriver');
 SetServiceStart('clr_optimization_v1.02', 4);
 DeleteService('clr_optimization_v1.02');
 SetServiceStart('WajaNetEn Monitor', 4);
 DeleteService('WajaNetEn Monitor');
 DeleteService('QQPCRTP');
 TerminateProcessByName('c:\users\admin\appdata\roaming\nssm.exe');
 QuarantineFile('c:\users\admin\appdata\roaming\nssm.exe','');
 TerminateProcessByName('c:\program files\wajaneten\47c4d8b86bd87ddda8e0e31861eedeb0.exe');
 TerminateProcessByName('C:\Program Files\WajaNetEn\863dc4e18cd542b06e1c5cfe443c2fba.exe');
 QuarantineFile('C:\Program Files\WajaNetEn\863dc4e18cd542b06e1c5cfe443c2fba.exe','');
 QuarantineFile('c:\program files\wajaneten\47c4d8b86bd87ddda8e0e31861eedeb0.exe','');
 DeleteFile('c:\program files\wajaneten\47c4d8b86bd87ddda8e0e31861eedeb0.exe','32');
 DeleteFile('C:\Program Files\WajaNetEn\863dc4e18cd542b06e1c5cfe443c2fba.exe','32');
 DeleteFile('c:\users\admin\appdata\roaming\nssm.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCRTP.exe','32');
 DeleteFile('C:\Windows\system32\Drivers\TAOKernel64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TSDefenseBT64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TS888x64.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\TFsFltX64.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\softaal64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQSysMonX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\ppt\ppt.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\Birds\birds365.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTRAY.EXE','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ QQPCTray','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Birds','command');
 DeleteFile('C:\Users\Admin\AppData\Roaming\daemon2.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Daemon','command');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
 DeleteFile('C:\Program Files (x86)\MTV20160128\MTView.exe','32');
 DeleteFile('C:\Program Files (x86)\ppt\Uninst.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\qq-bundle.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MTview','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcmgr','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qq-bundle','command');
 DeleteFile('C:\Program Files\Sound+\Sound+.exe','32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\gmsd_ru_005010240\upgmsd_ru_005010240.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_ru_005010240.exe','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sound+','command');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 DeleteFile('C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
 DeleteFile('C:\Users\Admin\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Program Files (x86)\Twilight Tech\Pretty Search\dummyDlg.exe','32');
 DeleteFile('C:\ProgramData\RenewalService\Service.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Diagnosis\RenewalService','64');
 DeleteFile('C:\PROGRA~1\GROOVE~1\Dejrewhi.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\Rutso','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте лог CheckBrowsers' Lnk

Обновите базы AVZ
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Илья Шатилов]

файл карантина отправил ,
лог CheckBrowsers' Lnk сделал ( его вам отправлять )
базы вроди как свежие,
Выполнить правило еще раз это я не понял , что еще раз выполнить ???? то что в самый первый раз отпрвлял ????

[thyrex]

лог CheckBrowsers' Lnk сделал ( его вам отправлять )

А я его разве просто так просил сделать?

базы вроди как свежие,

обновляйте

что еще раз выполнить

сделать новые логи, как в первый раз

[Илья Шатилов]

Вложение 616845

- - - - -Добавлено - - - - -

Удалено - залил на файлообменник мейла, сюда не получилось

Уведомление

Во внешней ссылке содержался virusinfo_autoquarantine.zip - карантин

[mrak74]

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ:

Код:

begin
ExecuteRepair(21);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[Илья Шатилов]

отправил через ссылку "Прислать запрошенный карантин"

[mrak74]

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Ждем новые логи.

[Илья Шатилов]

Ждем новые логи.

Вложение 616872
Вложение 616873
Вложение 616874

[mrak74]

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Что с проблемой ?

[Илья Шатилов]

было 3 уязвимости , их устранил , обновления установил , но проблема осталась
прикладываю скрины пакостей вируса
Вложение 616897
Вложение 616899
Вложение 616900

[mrak74]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Илья Шатилов]

отправил через "Прислать запрошенный карантин" так как загрузить в сообщение не получается, нету места

[mrak74]

Как удалить вложения? - удалите прежние вложения, освободится место для новых вложений.

[Илья Шатилов]

Addition.txt
FRST.txt

[mrak74]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3387608912-2264210982-562784299-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3387608912-2264210982-562784299-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1455682057&z=2d082322edfb24bcd8173a5g8z9w4w1q0b9c2tet7o&from=free&uid=WDCXWD5000AAKX-60U6AA0_WD-WMC2E734484944849
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursearching.com/?type=sc&ts=1455682057&z=2d082322edfb24bcd8173a5g8z9w4w1q0b9c2tet7o&from=free&uid=WDCXWD5000AAKX-60U6AA0_WD-WMC2E734484944849
CHR StartupUrls: Profile 1 -> "hxxp://google.ru/","hxxp://mail.ru/cnt/10445?gp=789106","hxxp://www.yoursearching.com/?type=hp&ts=1455682057&z=2d082322edfb24bcd8173a5g8z9w4w1q0b9c2tet7o&from=free&uid=WDCXWD5000AAKX-60U6AA0_WD-WMC2E734484944849"
CHR Extension: (Акционные купоны.) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\balhbiilgifenhadkgpaelhojcdkjndn [2016-02-17]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursearching.com/?type=sc&ts=1455682057&z=2d082322edfb24bcd8173a5g8z9w4w1q0b9c2tet7o&from=free&uid=WDCXWD5000AAKX-60U6AA0_WD-WMC2E734484944849
2016-02-17 10:57 - 2016-02-17 10:57 - 00000000 ____D C:\Users\Все пользователи\OInNyd
2016-02-17 10:57 - 2016-02-17 10:57 - 00000000 ____D C:\Users\Все пользователи\IpoJOjVA
2016-02-17 10:57 - 2016-02-17 10:57 - 00000000 ____D C:\ProgramData\OInNyd
2016-02-17 10:57 - 2016-02-17 10:57 - 00000000 ____D C:\ProgramData\IpoJOjVA
2016-02-17 10:52 - 2016-02-17 22:42 - 00000000 ____D C:\Program Files (x86)\ppt
2016-02-17 10:52 - 2016-02-17 13:31 - 00000000 ____D C:\Users\Admin\AppData\Local\PPTAssist
2016-02-17 10:52 - 2016-02-17 13:31 - 00000000 ____D C:\Program Files\SpaceSoundPro
2016-02-17 10:52 - 2016-02-17 11:09 - 00000000 ____D C:\Users\Все пользователи\kingsoft
2016-02-17 10:52 - 2016-02-17 11:09 - 00000000 ____D C:\ProgramData\kingsoft
2016-02-17 10:52 - 2016-02-17 10:52 - 00000000 ____D C:\Users\Все пользователи\wLyuDYlzNx
2016-02-17 10:52 - 2016-02-17 10:52 - 00000000 ____D C:\Users\Все пользователи\LAOfMZRiYO
2016-02-17 10:52 - 2016-02-17 10:52 - 00000000 ____D C:\Users\Все пользователи\KXauMjXF
2016-02-17 10:52 - 2016-02-17 10:52 - 00000000 ____D C:\Users\Все пользователи\HXxmlz
2016-02-17 10:52 - 2016-02-17 10:52 - 00000000 ____D C:\Users\Все пользователи\fJgjrDdGrA
2016-02-17 10:52 - 2016-02-17 10:52 - 00000000 ____D C:\ProgramData\wLyuDYlzNx
2016-02-17 10:52 - 2016-02-17 10:52 - 00000000 ____D C:\ProgramData\LAOfMZRiYO
2016-02-17 10:52 - 2016-02-17 10:52 - 00000000 ____D C:\ProgramData\KXauMjXF
2016-02-17 10:52 - 2016-02-17 10:52 - 00000000 ____D C:\ProgramData\HXxmlz
2016-02-17 10:52 - 2016-02-17 10:52 - 00000000 ____D C:\ProgramData\fJgjrDdGrA
2016-02-17 10:51 - 2016-02-17 13:27 - 00000000 ____D C:\Program Files\Sound+
2016-02-17 10:40 - 2016-02-17 13:27 - 00000000 ____D C:\Program Files\WajaNetEn
2016-02-17 10:40 - 2016-02-17 10:40 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WajaNetEn
2016-02-17 10:39 - 2016-02-17 13:27 - 00000000 ____D C:\Program Files (x86)\SFK
2016-02-17 10:38 - 2016-02-17 13:27 - 00000000 ____D C:\Users\Все пользователи\2WdM2
2016-02-17 10:38 - 2016-02-17 13:27 - 00000000 ____D C:\Users\Admin\AppData\Roaming\yoursearching
2016-02-17 10:38 - 2016-02-17 13:27 - 00000000 ____D C:\ProgramData\2WdM2
2016-02-05 17:15 - 2016-02-05 17:15 - 00000000 ____D C:\Users\Admin\AppData\LocalLow\TENCENT
2016-02-05 16:49 - 2016-02-05 16:49 - 00005120 _____ C:\Users\Admin\AppData\Roaming\GiftBag.db
2016-02-05 16:48 - 2016-02-05 16:48 - 00000000 ____D C:\Users\Все пользователи\TXQMPC
2016-02-05 16:48 - 2016-02-05 16:48 - 00000000 ____D C:\ProgramData\TXQMPC
2016-02-05 16:48 - 2016-02-05 16:48 - 00000000 ____D C:\Program Files\Common Files\Tencent
2016-02-05 16:47 - 2016-02-05 16:47 - 00000000 ____D C:\Program Files (x86)\Tencent
2016-02-05 16:46 - 2016-02-05 17:14 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Tencent
2016-02-05 16:46 - 2016-02-05 16:50 - 00000000 ____D C:\Users\Все пользователи\Tencent
2016-02-05 16:46 - 2016-02-05 16:50 - 00000000 ____D C:\ProgramData\Tencent
Task: {07582122-1784-4834-A1FD-9DC312DA0C6C} - \Microsoft\Windows\Diagnosis\RenewalService -> No File <==== ATTENTION
Task: {0FDF9CD7-7BDA-4439-9D21-B05C79BE9ECD} - \Rutso -> No File <==== ATTENTION
Task: {40BEF4A1-24D5-48F4-A2A9-707D4807BBD1} - \WPD\SqmUpload_S-1-5-21-3387608912-2264210982-562784299-500 -> No File <==== ATTENTION
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Илья Шатилов]

AdwCleaner[S1].txt
Fixlog.txt

- - - - -Добавлено - - - - -

Спасибо проблема решена!!!!!!!!!!!!!!
реклама и расширение пропали!!!!!!!!!!!
урааааа

[mrak74]

Спасибо проблема решена!!!!!!!!!!!!!!
реклама и расширение пропали!!!!!!!!!!!

Догадываюсь , но кое какой мусор всё еще остался, предлагаю дочистить.

Для начала:
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

И сделайте повторный, новый лог FRST, но в первую очередь обязательно очистку AdwCleaner, желательно перезагрузить компьютер и сделать новый лог FRST.

[Илья Шатилов]

да все гууд, уже чистил, еще с помощью программы CCleaner от мусора почистил и реэстр
AdwCleaner[S2].txt
Fixlog.txt

проверил так же программой Dr.Web CureIt! он так же ничего не нашел