Решена Появление всплывающей рекламы...

Статус
В этой теме нельзя размещать новые ответы.

Razey

Опытный участник
Сообщения
729
Реакции
33
Здравствуйте!

Пользователь жалуется на то, что при попытке скачать Word или Excel (сиречь MS Office) у него после скачки (а скачать так и не получилось) начала появляться всплывающая реклама на страницах браузера (Google Chrome). Логи во вложении, просьба глянуть, что на этом компе не так.

Также жалуется на программы, которые поставились без его ведома (игры).
 

Вложения

  • CollectionLog-2019.01.12-11.57.zip
    73.4 KB · Просмотры: 5
Последнее редактирование:
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Good Chrome
SchedTaskSetup
YoutubeDownloader
Zaxar Games Browser 4
Служба автоматического обновления программ

Что не удалится стандартно, удаляйте принудительно через Revo Uninstall.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\izhmcfrdqie\yobdrpkljl.exe');
 TerminateProcessByName('c:\program files\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('c:\program files\zaxar\zaxarloader.exe');
 TerminateProcessByName('c:\users\ПОльзователь\appdata\roaming\schedtasksetup\sched.exe');
 QuarantineFile('C:\Program Files\fnPaJQZyeiYpfygOWnR\YNzAeQT.dll', '');
 QuarantineFile('C:\Program Files\iZhmcFrdQIE\klNcNoGo.dll', '');
 QuarantineFile('c:\program files\izhmcfrdqie\yobdrpkljl.exe', '');
 QuarantineFile('C:\Program Files\lFfTovwAFQMrC\JwBLvFw.dll', '');
 QuarantineFile('C:\Program Files\nPcIvKnkFinU2\IotgyReEGaFcs.dll', '');
 QuarantineFile('C:\Program Files\priPbkELU\ogREac.dll', '');
 QuarantineFile('C:\Program Files\Zaxar\libjsons.dll', '');
 QuarantineFile('C:\Program Files\Zaxar\QtWebKit4.dll', '');
 QuarantineFile('c:\program files\zaxar\zaxargamebrowser.exe', '');
 QuarantineFile('c:\program files\zaxar\zaxarloader.exe', '');
 QuarantineFile('C:\ProgramData\LpgGfxGjetDHvVVB\tOBvxPc.wsf', '');
 QuarantineFile('C:\Users\ПОльзователь\AppData\Local\Good Chrome\Application\goodchromeupdate.exe', '');
 QuarantineFile('C:\Users\ПОльзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\ПОльзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте в браузере Good Chrome.lnk', '');
 QuarantineFile('C:\Users\ПОльзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники в браузере Good Chrome.lnk', '');
 QuarantineFile('c:\users\ПОльзователь\appdata\roaming\schedtasksetup\sched.exe', '');
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Good Chrome Update');
 DeleteSchedulerTask('ImuiESGRLUmPUprjHGW2');
 DeleteSchedulerTask('kdKZUyTimeniOb');
 DeleteSchedulerTask('mjIRcknPgtYnU2');
 DeleteSchedulerTask('UjyqmGPXSLNtWvH2');
 DeleteSchedulerTask('XhTxmRHsepkzJLwrJ2');
 DeleteFile('C:\Program Files\fnPaJQZyeiYpfygOWnR\YNzAeQT.dll', '32');
 DeleteFile('C:\Program Files\iZhmcFrdQIE\klNcNoGo.dll', '32');
 DeleteFile('c:\program files\izhmcfrdqie\yobdrpkljl.exe', '32');
 DeleteFile('C:\Program Files\lFfTovwAFQMrC\JwBLvFw.dll', '32');
 DeleteFile('C:\Program Files\nPcIvKnkFinU2\IotgyReEGaFcs.dll', '32');
 DeleteFile('C:\Program Files\priPbkELU\ogREac.dll', '32');
 DeleteFile('C:\Program Files\Zaxar\libjsons.dll', '');
 DeleteFile('C:\Program Files\Zaxar\QtWebKit4.dll', '');
 DeleteFile('c:\program files\zaxar\zaxargamebrowser.exe', '');
 DeleteFile('c:\program files\zaxar\zaxarloader.exe', '');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\ProgramData\LpgGfxGjetDHvVVB\tOBvxPc.wsf', '32');
 DeleteFile('C:\Users\ПОльзователь\AppData\Local\Good Chrome\Application\goodchromeupdate.exe', '32');
 DeleteFile('C:\Users\ПОльзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteFile('C:\Users\ПОльзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте в браузере Good Chrome.lnk');
 DeleteFile('C:\Users\ПОльзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники в браузере Good Chrome.lnk');
 DeleteFile('c:\users\ПОльзователь\appdata\roaming\schedtasksetup\sched.exe', '32');
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteDirectory('c:\program files\zaxar');
 DelBHO('{1CCFB9EB-3420-47CA-9624-3BC20B074C7F}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SchedTaskSetup', 'x32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Прикрепите к следующему сообщению свежий CollectionLog.
 
Все выполнено, карантин отправлен.

Свежий лог Autologger'a во вложении.
 

Вложения

  • CollectionLog-2019.01.12-17.56.zip
    45 KB · Просмотры: 2
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Здравствуйте!

Выполнено. Лог во вложении
 

Вложения

  • AdwCleaner[S00].txt
    3 KB · Просмотры: 3
Удалите все найденное, кроме mail.ru (если используете), если нет, то удалите все.
 
Зависит от симптомов, реклама появляется?
 
При открытии Яндекс-новостей выскакивает вот такая вот картинка (см. вложение):
"... На вашем компьютере обнаружен вирус, подменяющий рекламные объявления...".
 

Вложения

  • принтскринй.png
    принтскринй.png
    92.5 KB · Просмотры: 70
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Здравствуйте!

Логи FRST во вложении.

P.S. Также видел, что сама открылась вкладка браузера (Google Chrome) с рекламой казино "Вулкан".
 

Вложения

  • Logi_FRST.zip
    17.5 KB · Просмотры: 2
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    HKU\S-1-5-21-3001555062-1595173950-292113197-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
    URLSearchHook: HKU\S-1-5-21-3001555062-1595173950-292113197-1000 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} -  No File
    CHR HomePage: Default -> inline.go.mail.ru
    CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
    CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> cdn
    C:\Users\ПОльзователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdhpacfhljhcombkalcmkahkhodpkbim
    C:\Users\ПОльзователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
    CHR HKLM\...\Chrome\Extension: [gndoicapfdaldiokbcdnllfhnapokcbk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [ikpcpgklmefncbfgbdifkaphbaapgafh] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [mdhpacfhljhcombkalcmkahkhodpkbim] - hxxps://clients2.google.com/service/update2/crx
    FirewallRules: [{1683EA21-BEC7-442C-8E4E-B0B0FEDB1C1C}] => (Allow) C:\Program Files\Zaxar\zaxarloader.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Здравствуйте!

Выполнено.
 

Вложения

  • Fixlog.7z
    1.5 KB · Просмотры: 2
Что с проблемой?
 
Это в яндексе и хроме или только в одном браузере?
 
только в хроме, в других (IE и Опера) вроде нет.
 
Отключите расширения chrome в том числе и служебные. Если реклама пропадет, включайте поочередно, пока не поймете какой расширение дает рекламу.
Название проблемного расширения сообщите.
 
Отключите расширения chrome в том числе и служебные.
Странное дело... ничего не понимаю...
Напишу, как делал:

Сначала начал отключать по одному каждое расширение в Google Chrome (а их несколько: Avast Online Security; Avast SafePrice; EveryDay Holiday (Find out what holiday is today in different countries); Google Документы офлайн; Документы; Презентации.

При отключении "по одному" не удалось конкретно выявить проблемное расширение, сообщение о "заразе" то появлялось, то исчезало при отключении и включении разных расширений

Тогда сделал по-другому - отключил все и начал включать по одному. А вот тут и загвоздка: сообщение "о заразе" больше так ни разу и не появилось... Перезапускал браузер несколько раз - то же...

P.S. Сам лично думаю на EveryDay Holiday - не локализованное, поэтому наиболее подозрительное...
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу