Всплывающие окна в браузере. 1xbet, azino и прочее

**Murzzz** · 06.01.2019, 19:02

всплывающие окна в chrom. всякие 1xbet, azino и прочие казино. Windows Defender ничего не находит.
лог во вложении.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.01.2019, 19:03

Уважаемый(ая) Murzzz, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 06.01.2019, 19:42

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll', '');
 QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll', '');
 QuarantineFile('C:\Users\Ankh\AppData\Roaming\awmdpycziwqx\mldttwykekvo.exe', '');
 DeleteFile('C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll', '');
 DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll', '');
 DeleteFile('C:\Users\Ankh\AppData\Roaming\awmdpycziwqx\mldttwykekvo.exe', '32');
 DeleteService('eeCtrl');
 DeleteFileMask('c:\program files (x86)\ask.com', '*', true);
 DeleteFileMask('c:\program files (x86)\miuitab', '*', true);
 DeleteFileMask('C:\Users\Ankh\AppData\Roaming\awmdpycziwqx, '*', true);
 DeleteDirectory('c:\program files (x86)\ask.com');
 DeleteDirectory('c:\program files (x86)\miuitab');
 DeleteDirectory('C:\Users\Ankh\AppData\Roaming\awmdpycziwqx');
 DelBHO('{1F91A9A1-01BA-4c81-863D-3BA0751E1419}');
 DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'EPSON TX650 Series');
ExecuteRepair(4);
ExecuteRepair(3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог такой версией Autologger.

Сделайте лог Malwarebytes AdwCleaner.

**Murzzz** · 06.01.2019, 21:58

quarantine.zip получился 368 Мб. не грузится через форму по ссылке.
логи альтернативной версии Autologer и AdwCleaner во вложении.

**Vvvyg** · 06.01.2019, 22:46

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://istart.webssearches.com/web/?type=ds&ts=1410651076&from=irs&uid=INTELXSSDSC2CW120A3_CVCV4290013G120BGN&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://istart.webssearches.com/web/?type=ds&ts=1410651076&from=irs&uid=INTELXSSDSC2CW120A3_CVCV4290013G120BGN&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: [URL] = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} - Bing
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0}: [URL] = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} - e
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: [TopResultURL] = http://search.delta-homes.com/web/?type=ds&ts=1427367711&from=wpm032632&uid=INTELXSSDSC2CW120A3_CVCV4290013G120BGN&q={searchTerms} - delta-homes
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: [URL] = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} - delta-homes
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{425ED333-6083-428a-92C9-0CFC28B9D1BF}: [TopResultURL] = http://www.v9.com/web?type=ds&ts=1421734972&from=zbd1&uid=intelxssdsc2cw120a3_cvcv4290013g120bgn&q={searchTerms} - V9
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E733165D-CBCF-4FDA-883E-ADEF965B476C}: [URL] = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} - Google
O2-32 - HKLM\..\BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Ankh\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll (file missing)
O4 - HKCU\..\Run: [Combin] = C:\Program Files\Open Media LLC\combin\combin.exe --autostart (file missing)
O22 - Task: GPUP - C:\Program Files (x86)\GetPrivate\gpup.exe (file missing)
O22 - Task: \Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan - C:\Program Files\Microsoft Security Client\MpCmdRun.exe Scan -ScheduleJob -RestrictPrivileges (file missing)
O22 - Task: \Microsoft\Microsoft Antimalware\MpIdleTask - C:\Program Files\Microsoft Security Client\MpCmdRun.exe -IdleTask -TaskName MpIdleTask (file missing)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Murzzz** · 07.01.2019, 00:09

Спасибо.
В HijackThis скрип выполнил. лог AdwCleaner во вложении. кэш и cookies-файлы почистил. Чтобы понять, что с проблемами надо понаблюдать за поведением компьютера.

UPD: продолжают появляться новые окна.

**Vvvyg** · 07.01.2019, 12:59

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Murzzz** · 07.01.2019, 20:58

Добрый вечер.
просканировал, логи во вложении.

**Vvvyg** · 07.01.2019, 23:03

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

Powershell: enable-computerrestore "C:\"
CreateRestorePoint:
CloseProcesses:
FF SearchPlugin: C:\Users\Ankh\AppData\Roaming\Mozilla\Firefox\Profiles\ocwogfjm.default\searchplugins\v9-.xml [2015-05-20]
FF Extension: (QuickSearch) - C:\Users\Ankh\AppData\Roaming\Mozilla\Firefox\Profiles\ocwogfjm.default\Extensions\[email protected] [2015-05-20] [Legacy] [not signed]
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\Ankh\AppData\Roaming\Mozilla\Firefox\Profiles\ocwogfjm.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\Ankh\AppData\Roaming\Mozilla\Firefox\Profiles\ocwogfjm.default\extensions\[email protected]
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\Ankh\AppData\Roaming\Mozilla\Firefox\Profiles\ocwogfjm.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\Ankh\AppData\Roaming\Mozilla\Firefox\Profiles\ocwogfjm.default\extensions\[email protected]
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\Ankh\AppData\Roaming\Mozilla\Firefox\Profiles\ocwogfjm.default\extensions\[email protected] => not found
CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Ankh\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mafpbclkdiejmpjnmioihcafdnlbmkco] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nkooappjeoniffjmoplbagpngedkckpl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [palmggefdfeikonghaeongkabmgcagco] - hxxps://clients2.google.com/service/update2/crx
2018-12-18 18:06 - 2018-12-18 18:06 - 000017189 _____ C:\Users\Ankh\Downloads\295bb8c5-e758-486b-8d7e-a17c05ae4488
2015-09-14 05:26 - 2015-09-14 05:26 - 000000000 ____C () C:\Users\Ankh\AppData\Local\{4C9789C2-1446-4E46-A803-8E2691B071E2}
CustomCLSID: HKU\S-1-5-21-2748004039-522973929-1853690699-1000_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath
Task: {11ADEF55-AD4B-4312-B0E9-E83A9BE87CA0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {64E639DE-FFAA-4AB6-8C2A-2C844123A140} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {6B4B6178-18B7-4398-96AD-1AB7B96F60A0} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {75FA69C7-F776-4412-9252-829A9B44DD57} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {7795EC32-4994-4DF1-9681-8563D72F23CF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {7B041BAC-7BD4-4CD4-9B6F-47DC666C916A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {AC334089-3D7C-4491-8069-F3727AD4B9D3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {AD53208D-763A-48F9-BEC5-12AD3F540324} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {D4F6F7A4-1773-4A28-8D6F-D2AFB6B08370} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {D5749E3F-411B-4F27-8E72-F77908452BA4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {EDCDBD81-6D64-4D4B-8563-8C944052A4B9} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {F5B20E3E-F710-4E03-9BDF-070972F4C443} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
FirewallRules: [TCP Query User{7AFF79F0-5DE5-471C-A813-41D41663CC53}C:\program files (x86)\java\jre1.8.0_31\bin\jp2launcher.exe] => (Allow) C:\program files (x86)\java\jre1.8.0_31\bin\jp2launcher.exe No File
FirewallRules: [UDP Query User{15AB1D6F-214D-4799-AC3C-B2AED779A8E7}C:\program files (x86)\java\jre1.8.0_31\bin\jp2launcher.exe] => (Allow) C:\program files (x86)\java\jre1.8.0_31\bin\jp2launcher.exe No File
FirewallRules: [{A1B981A1-C123-47C2-9326-6DDAA990E52B}] => (Block) C:\program files (x86)\java\jre1.8.0_31\bin\jp2launcher.exe No File
FirewallRules: [{315AD7E3-5C6D-419A-AAB5-00E2FC4FD214}] => (Block) C:\program files (x86)\java\jre1.8.0_31\bin\jp2launcher.exe No File
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры,
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Если не поможет - отключите все расширения в Chrome, если пропадёт реклама - подключайте по одному, проверяйте эффект.
Сообщите результат.

**Murzzz** · 09.01.2019, 20:18

Добрый вечер.
fixlist выполнил. лог во вложении. Все расширения в хроме отключил. Наблюдаю.

Всплывающие окна в браузере. 1xbet, azino и прочее (заявка № 221374)

Опции темы