В браузере, открываются вкладки с рекламой и меняется контент страниц!

[andvar]

Здравствуйте!
Случилось следующее, скачали торрент файл с интернета, с расширением EXE! запустили, далее случилась беда! в браузере(chrome) с определённой периодичностью стали открываться вкладки с рекламой, на ютубе дополнительно появляются рекламные блоки на самих страницах и в видео, проблема осложняется тем, что на другом компьютере этот же браузер (chrome) тоже был залогинен и все вирусы перекинулись через него и на другой компьютер тоже! первый раз такое вижу, adwcleaner не помогает, на обоих компах после чистки в системе находит те же самые проблемы (какие то файлы с маилру) помогите пожалуйста справиться с бедой((, сам аккаунт chrome тоже очень важен для меня, на этот аккаунт (электронный адрес) привязано много платных сервисов на которые потрачен не один десяток тысяч рублей!

P.S Autologger запустил только на первом компьютере, если нужно могу сделать всё тоже самое на втором!

[Info_bot]

Уважаемый(ая) andvar, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Если сами не ставили, то деинсталируйте

Код:

Unity Web Player [2017/01/06 23:08:12]-->C:\Users\Пользователь\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Игровой центр [2016/11/05 18:31:19]-->"C:\Users\Пользователь\AppData\Local\Mail.Ru\GameCenter\[email protected]" -uninstall

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "TaskSched" /F', 0, 15000, true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zaxar');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[andvar]

Вроде всё сделал как вы сказали, на данный момент жду информацию по двум отчётам с VirusDetector, по первой процедуре, и карантину после запуска вашего кода в AVZ... так же ниже прикрепил 2 файла которые вы просили, благодарю вас за помощь, есть ещё такой вопрос, что мне делать со вторым компьютером? проделать те же процедуры на нём? имею ввиду запустить тот же код в AVZ и на нём? и не перекинется ли этот вирус снова с облачного хранилища Google? на сколько я понимаю вирус именно через него перебрался на второй компьютер, т.к на нём 100% ни каких вирусов небыло, был запущен только google chrome под тем же логином, (этот компьютер никогда не выключается) и сразу после всей этой ерунды на первом компе всё тоже самое случилось и со вторым(( печальбеда((

Вот пришёл результат с virusdetector - http://virusinfo.info/virusdetector/...1B618F289A7830
это по первой процедуре, а результат по карантину с AVZ пока не пришёл, но когда я пытался загрузить этот карантин в форму virusdetector мне написали что эти файлы уже были загружены ранее.

[regist]

Код:

Игровой центр [2016/11/05 18:31:19]-->"C:\Users\Пользователь\AppData\Local\Mail.Ru\GameCenter\[email protected]" -uninstall

не деинсталировали, а это приблуда от mail.ru.

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

что мне делать со вторым компьютером?

создать отдельную тему по правилам раздела.

имею ввиду запустить тот же код в AVZ и на нём?

этого делать нельзя. Скрипты индивидуальны и пишутся под конкретную систему, на другой системе могу навредить.

[andvar]

Вот отчёт который вы просили, на втором компьютере adwcleaner выдаёт эти же проблемы(( вирус каким то образом перекинулся туда через chrom!
той штуки майловской о которой вы говорите уже нет, сама как то удалилась, той директории вообще нет, но я бы удалять не стал, т.к сам устанавливал, это игровой центр от игры warface, больше я никакими сервисами маилру не пользуюсь, так как это зло

[regist]

Это расширение вам знакомо? https://chrome.google.com/webstore/d...bbclob/reviews

на втором компьютере adwcleaner выдаёт эти же проблемы(( вирус каким то образом перекинулся туда через chrom!

синхронизацию отключите.

[andvar]

Да в это расширение на сколько я помню интегрируется savefrom.net и позволяет качать видео с youtube. Оно вызывает у вас какое то подозрение?
Скажите что делать с этими папками и файлами которые находит adwcleaner, удалить это всё?
Что касается синхронизации, не нашёл как её можно отключить в chrome, разве что разлогиниться, а вообще с ней веселее, я надеялся просто отключить первый компьютер, решить проблему на втором, а потом уже пробовать включать всё снова.
Я пока не уверен, но вкладки вроде перестали открываться, а вот рекламные блоки продолжают открываться на страничках сайтов, хотя у меня стоят расширения блокирующие рекламу. Рекламные блоки вставляются уже после формирования страниц сайтов.

[regist]

это расширение на сколько я помню интегрируется savefrom.net

У savefrom насколько расширение так и называется, это что-то другое.

Оно вызывает у вас какое то подозрение?

Именно на него ругается AdwCleaner в логе (то что он не может удалить).

Что касается синхронизации, не нашёл как её можно отключить в chrome

в яндексе или в гугле поискать не пробовали?

надеялся просто отключить первый компьютер, решить проблему на втором, а потом уже пробовать включать всё снова.

и через синхронизацию всё обратно вернётся как только включите.

[andvar]

Хорошо, синхронизацию я отключил, а что делать с всплывающими рекламными блоками, иногда в них всплывают сообщения типа: Сайт 3gjy701ong81mz.ru не отправил данных. Я так понимаю есть какой то код который запускается после формирования html и вставляет эту поганенькую рекламу, в посковом списке youtube эти блоки заменяют примерно каждый третий блок в поисковом листе.
Да и синхронизацию в итоге хотелось бы вернуть, неужели это всё таки аккаунт гугл заражён и вернуть синхронизацию не удастся?
Можно ли вылечить в таком случае аккаунт гугл?

Что касается savefrom.net - когда заходишь на сайт, для установки этого расширения в chrome он сначала просит установить Chameleon... в оперу ставится без таких проблем, во всяком случае я почистил всё adwcleanerom и это расширение пропало.

- - - - -Добавлено - - - - -

ммм... почистил только что хром CCLEANERом и вроде даже перестали всплывать рекламные блоки... но не могу с уверенностью сказать что проблема решена... во всяком случае спасибо вам за помощь, и если не трудно ответьте пожалуйста по моим вопросам в предыдущем коментарии... ещё раз благодарю... пойду пока создавать тему по второму компьютеру...

[regist]

почистил только что хром CCLEANERом и вроде даже перестали всплывать рекламные блоки

значит просто в кукисах/кеше оставалась зараза. Синхронизацию можете включить после того как вычистите второй комп, до этого лучше не включать, чтобы оттуда сюда не перешло.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[andvar]

Благодарю вас!
Вот такой вот отчёт получился:

Поиск критических уязвимостей
Отключён запрос UAC (контроля учётных записей) на повышение прав для администраторов.
http://windows.microsoft.com/ru-ru/w...control-on-off

Обнаружено уязвимостей: 1

Я так же создал тему по ноутбуку, если не составит труда гляньте пожалуйста - http://virusinfo.info/showthread.php...78#post1425078