Всплывающие рекламные ссылки в браузере.

**Hentai Agressor** · 05.01.2017, 15:44

На компьютере у девушки в браузере chrome начинают всплывать каждые несколько минут рекламные страницы (открываются в новой вкладке). Проверял Cure it, AVZ, вручную чистил подозрительные папки и удалял ненужные программы. Пришлось даже переустановить хром. Ничего не помогло. Правда при переустановке хрома, автоматически установилась малварь от мэйла типа их поисковика и прочих подобных ему расширений.
Что делать? Помогите. Доки прикрепил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.01.2017, 15:45

Уважаемый(ая) Hentai Agressor, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Sandor** · 05.01.2017, 16:44

Здравствуйте!

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('schtasks.exe', '/delete /TN "InternetAB" /F', 0, 15000, true);
 ExecuteRepair(22);
RebootWindows(false);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Подготовьте и прикрепите лог сканирования AdwCleaner.

**Hentai Agressor** · 05.01.2017, 22:29

Прикрепляю лог. Ничего не очищал с помощью этой проги, только сделал отчёт

- - - - -Добавлено - - - - -

Ответил. Лог файл выше.

**Sandor** · 06.01.2017, 11:42

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Прокси
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**Hentai Agressor** · 07.01.2017, 01:02

Очистил и просканировал. Вот отчёты

**mrak74** · 07.01.2017, 01:39

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3074636643-481477234-1562708900-1001\...\Policies\system: [WallpaperStyle] 2
HKU\S-1-5-21-3074636643-481477234-1562708900-1001\...\MountPoints2: F - F:\Startme.exe
HKU\S-1-5-21-3074636643-481477234-1562708900-1001\...\MountPoints2: {8c9cd797-d171-11e4-a677-00269e565498} - I:\Setup.exe
HKU\S-1-5-21-3074636643-481477234-1562708900-1001\...\MountPoints2: {92e08aaf-e2c1-11e4-aabc-00269e565498} - F:\Startme.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts-x32: Restriction <======= ATTENTION
GroupPolicyScripts-x32\User: Restriction <======= ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM-x32 - No Name - {DE9C389F-3316-41A7-809B-AA305ED9D922} -  No File
Toolbar: HKU\S-1-5-21-3074636643-481477234-1562708900-1001 -> No Name - {DE9C389F-3316-41A7-809B-AA305ED9D922} -  No File
CHR Extension: (Adblock Plus) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-01-05]
CHR HKU\S-1-5-21-3074636643-481477234-1562708900-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (The Safe Surfing) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-12-10]
Task: {2B09B2C9-9437-41E8-B03B-FFA621388383} - \DealPlyUpdate -> No File <==== ATTENTION
Task: {AB32C449-2C35-4C76-8B82-C519AA3EAE07} - \DealPly -> No File <==== ATTENTION
Task: {DAB0802F-2019-46C3-8431-E1FF83A49072} - \Funmoods -> No File <==== ATTENTION
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Hentai Agressor** · 08.01.2017, 21:55

Готово

**mrak74** · 08.01.2017, 22:16

Сообщение от Hentai Agressor

Всплывающие рекламные ссылки в браузере.

Что с проблемой ?

**Hentai Agressor** · 09.01.2017, 12:40

Спасибо, решилась. Можете закрывать тему.

**Sandor** · 09.01.2017, 15:25

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера.