Добрый день.
Браузеры самопроизвольно открывают рекламные страницы.
Пролечился CureIt, но хотелось бы почистить все "хвосты".
Добрый день.
Браузеры самопроизвольно открывают рекламные страницы.
Пролечился CureIt, но хотелось бы почистить все "хвосты".
Уважаемый(ая) tryndec, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
отключите антивирусную программу
Выполните скрипт в AVZ:
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Admin\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe',''); QuarantineFile('C:\Users\Admin\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe',''); QuarantineFile('C:\Users\Admin\AppData\Local\18844\a25627.exe',''); QuarantineFile('C:\Program Files (x86)\Mobogenie3\Mobogenie.exe',''); QuarantineFile('C:\Users\Admin\AppData\Roaming\newnext.me\nengine.dll',''); QuarantineFile('C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe',''); QuarantineFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe',''); QuarantineFile('C:\Windows\system32\drivers\CB1F5FE9.sys',''); DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mobogenie3.lnk'); DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32'); DeleteFile('C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe','32'); DeleteFile('C:\Users\Admin\AppData\Roaming\newnext.me\nengine.dll','32'); DeleteFile('C:\Program Files (x86)\Mobogenie3\Mobogenie.exe','32'); DeleteFile('C:\Users\Admin\AppData\Local\18844\a25627.exe','32'); DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Users\Admin\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\system32\Tasks\PennyBee','64'); DeleteFile('C:\Users\Admin\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Updater','64'); DelBHO('{B69F34DD-F0F9-42DC-9EDD-957187DA688D}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
+
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Выполнил.
Логи сделал
- - - - -Добавлено - - - - -
Карантин загрузил
Результат загрузки
Файл сохранён как 160422_165949_quarantine_571a2e5505199.zip
Размер файла 4560220
MD5 82d48191d1d519e75c4d2dbac81d1c06
Файл закачан, спасибо!
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Выполнил
Логи прикрепил
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-1507187286-542906706-289564086-1000\...\MountPoints2: {fe1d6349-6576-11e0-ace9-806e6f6e6963} - E:\Autorun.exe HKU\S-1-5-21-1507187286-542906706-289564086-1000\...\Winlogon: [Shell] C:\WINDОWS\ехрlоrеr.exe <==== ATTENTION ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION SearchScopes: HKU\S-1-5-21-1507187286-542906706-289564086-1000 -> yandex.ru-182346 URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms} Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-1507187286-542906706-289564086-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1413394972&from=tugs&uid=WDCXWD3200BEVT-80A0RT1_WD-WXG1EB0CNH36CNH36 CHR Extension: («Ã’ø÷уðûьýыõ ×ðúûðôúø» þт Mail.Ru) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\jaocgokledfmfebefgbeokdodbbdjhdd [2013-12-16] [UpdateUrl: hxxp://crx.binupdate.mail.ru/jaocgokledfmfebefgbeokdodbbdjhdd/updates.xml] <==== ATTENTION CHR HKLM-x32\...\Chrome\Extension: [dgjnikgcfhpikciepjfnfmgdlaankjjn] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home5713\ch\MediaWatchV1home5713.crx <not found> CHR HKLM-x32\...\Chrome\Extension: [jbfmkijbdfgfaiccakeaiinogojfkkcj] - C:\Users\Admin\AppData\Local\Google\Chrome\Application\Plugins\extension_0_1_0_4.crx <not found> CHR HKLM-x32\...\Chrome\Extension: [loajohomaikanmcanpjceclmkpkhijej] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha9145\ch\MediaViewV1alpha9145.crx <not found> 2016-03-29 23:08 - 2015-02-03 00:10 - 00000000 __SHD C:\Users\Admin\AppData\Local\EmieBrowserModeList 2016-03-29 23:08 - 2014-10-22 22:48 - 00000000 __SHD C:\Users\Admin\AppData\Local\EmieUserList 2016-03-29 23:08 - 2014-10-22 22:48 - 00000000 __SHD C:\Users\Admin\AppData\Local\EmieSiteList EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
выполнил
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Что с проблемой ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Выполнил, но проблема осталась: открываются "левые" страницы в браузерах
В системе два браузера:IE и Chrome. В обоих одинаковое поведение:запускаешь браузер, открываешь любой сайт, например mail.ru, щелкаешь на открывшейся странице и открывается вторая вкладка с "левыми" сайтами.
Лог сделал
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-1507187286-542906706-289564086-1000 -> yandex.ru-202422 URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox BHO-x32: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll => No File Toolbar: HKU\S-1-5-21-1507187286-542906706-289564086-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF DefaultSearchEngine: Yahoo! Search FF SelectedSearchEngine: Yahoo! Search FF Plugin-x32: @altergeo.ru/Html5loc -> C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\npHtml5loc.dll [No File] FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File] FF HKU\S-1-5-21-1507187286-542906706-289564086-1000\...\Firefox\Extensions: [{4C221D56-A54A-A548-2CE6-322758891EDC}] - C:\Program Files (x86)\ver3BlockAndSurf\180.xpi => not found FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha9145\ff FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home5713\ff FF Extension: Media Watch - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home5713\ff [2014-03-25] [not signed] FF Extension: Media View - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha9145\ff [2014-03-19] [not signed] FF Extension: HTML5 location provider - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{B100D0FF-0001-8CE4-2790-AACE49B8AE35} [2013-07-24] [not signed] FF Extension: Спутник @Mail.Ru - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2013-12-16] [not signed] FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2014-10-19] CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=643_pr__alt__ddc_dsssyc_bd_com" CHR StartupUrls: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=643_pr__alt__ddc_dsssyc_bd_com" CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll => No File CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\ppGoogleNaClPluginChrome.dll => No File CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll => No File CHR Plugin: (Bing Bar) - C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll => No File CHR Plugin: (Silverlight Plug-In) - C:\Program Files (x86)\Microsoft Silverlight\4.0.50401.0\npctrl.dll => No File CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi 2016-04-21 11:46 - 2014-10-19 14:04 - 00000000 ____D C:\Program Files (x86)\360 EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Выполнил
Что сейчас с проблемой ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
В IE нормально, в chrome также: открываешь страницу, нажимаешь на ссылке или даже просто на текст и открываются "Левые" страницы
Запустите Google Chrome, в адресной строке введите:, Вы автоматически перейдете в меню Расширения, отключайте поочерёдно, по одному каждое расширение и обновляйте страницу на которой вылезает реклама (можно нажатием на клавишу F5). Сообщите после отключения какого из расширений проблема устранилась. Расширения которые не вызывали проблему можете включить обратно.Код:chrome://extensions/
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Кроме расширения от Касперского, больше ничего нет.
Пробовал отключать его, но проблема остается
попробуйте тоже самое проделать с плагинами. Сообщите результат.Код:chrome://plugins/
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
В ручную обновил Chrome до последней версии и проблема решилась.
Все работает нормально
Уважаемый(ая) tryndec, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.