Решена Постоянно открываются левые окна в браузере

Тема в разделе "Лечение компьютерных вирусов", создана пользователем demolion, 14 окт 2015.

Метки:
Статус темы:
Закрыта.
  1. demolion
    Оффлайн

    demolion Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Доброго дня!!!
    При работе в браузере периодически открываются различные сайты рекламной направленности... Пытался справится с помощью Esset Smart Security - нашел 180 вирусов, вылечил 79, но проблема не ушла... Помогите, плиззз...
     

    Вложения:

  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

    2) Деинсталируйте следующие программы
    Код (Text):
    CinemaPlus-4.2vV20.09 []-->C:\Program Files\CinemaPlus-4.2vV20.09\Uninstall.exe /fcp=1 /runexe='C:\Program Files\CinemaPlus-4.2vV20.09\UninstallBrw.exe' /url='http://notif.randkeygen.com/notf_sys/index.html' /brwtype='uni' /onerrorexe='C:\Program Files\CinemaPlus-4.2vV20.09\utils.exe' /crregname='CinemaPlus-4.2vV20.09' /appid='74253' /srcid='003230' /bic='73a9ee7d90a4a61ae4c1841efbbc6905IE' /verifier='ff41a18b270ea37d81ffc16aaedb8fab' /brwshtoms='15000' /installerversion='1_36_01_22' /statsdomain='http://stats.randkeygen.com/utility.gif?' /errorsdomain='http://errors.randkeygen.com/utility.gif?' /monetizationdomain='http://logs.randkeygen.com/monetization.gif?'
    globalupdate Helper []-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
    Guard@Mail.Ru []-->"C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe" /uninstall
    McAfee Security Scan Plus []-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
    Служба автоматического обновления программ [2015/09/21 10:26:38]-->C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe uninstall
    Спутник@Mail.Ru []-->C:\Program Files\Mail.Ru\Sputnik\mailrusputnik.exe uninstall
    Если вам не знакомо/не пользуетесь, то ещё
    Код (Text):
    Интернет [20130317]-->"C:\Documents and Settings\Admin\Local Settings\Application Data\Xpom\Application\28.1.1500.75\Installer\setup.exe" --uninstall
    HP Customer Participation Program 9.0 []-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
     

    3)
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    demolion нравится это.
  3. demolion
    Оффлайн

    demolion Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Выполнил все назначения
    Загрузил архив - MD5: 45381F271B43F5699CE4E1541A228CC7
    Результат работы AdwCleaner во вложении
     

    Вложения:

  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
     
    demolion нравится это.
  5. demolion
    Оффлайн

    demolion Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Выполнено...
    Проблема пока продолжает наблюдаться...
     

    Вложения:

  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Свежий лог AdwCleaner-а сделайте.

    + Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
    demolion нравится это.
  7. demolion
    Оффлайн

    demolion Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    AdwCleaner ничего не обнаружил...
     

    Вложения:

  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1)
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.


    2) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.


    3)
    До сих пор не удалили.
     
    demolion нравится это.
  9. demolion
    Оффлайн

    demolion Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    - не могу удалить, деинсталятор не запускается... Что-то посоветуете?
     

    Вложения:

    • Shortcut.txt
      Размер файла:
      93,9 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      40,9 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      57,2 КБ
      Просмотров:
      1
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1) Включите восстановление системы! И сделайте точку для восстановления.

    2)
    - деинсталируйте это устаревшая версия Java имеющая уязвимости.

    3)
    Код (Text):
    C:\Program Files\mozilla firefox\browser\defaults\preferences\prefs.js
    C:\Program Files\mozilla firefox\cfg
    заархивируйте и прикрепите к сообщению.

    4) Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> => No File
    BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\Sputnik\IESearchPlugin.dll => No File
    Toolbar: HKU\S-1-5-21-1123561945-1767777339-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
    FF ExtraCheck: C:\Program Files\mozilla firefox\browser\defaults\preferences\prefs.js [2015-09-25] <==== ATTENTION (Points to *.cfg file)
    FF ExtraCheck: C:\Program Files\mozilla firefox\cfg [2015-09-25] <==== ATTENTION
    globalupdate Helper (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION

    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    5)
    после этих действий попробуйте снова деинсталировать.
     
  11. demolion
    Оффлайн

    demolion Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Прошу прощения за столь длинную паузу - не было доступа к компьютеру...
    Все сделал, вроде удалилось...
    Проблема пока осталась...
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,4 КБ
      Просмотров:
      3
    • mozilla_files.zip
      Размер файла:
      2,9 КБ
      Просмотров:
      5
    Последнее редактирование: 17 окт 2015
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Подготовьте свежий лог Farbar Recovery Scan Tool
     
  13. demolion
    Оффлайн

    demolion Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Доброго дня, уважаемые гуру...
    Предыдущую тему
    из-за отсутствия ответов закрыли, но проблема все еще осталась. Хозяин компьютера лежал в больнице, поэтому доступа к нему не было. Сейчас хотелось бы возобновить лечение...
    Проблема - та же: при работе в браузере периодически открываются различные сайты рекламной направленности. Собрал на всякий случай новые логи и по последней рекомендации сделал свежий лог Farbar Recovery Scan Tool. Очень надеюсь на Вашу помощь.
     

    Вложения:

  14. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    • Объединил темы.
     
    Последнее редактирование: 1 дек 2015
  15. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Подготовьте свежий лог adwcleaner.
    Какие расширения установлены в браузерах?
     
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    demolion, вы во франции живёте?
    Сайт inet123.ru знаком? Поисковик от mail.ru и inet123.ru сами ставили?
    немного дополню вопрос. Какие расширения из этих вам не знакомы (сами не ставили):
    Код (INI):
    FF Extension: FlashGot - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}.xpi [2015-05-28]
    FF Extension: IE Tab 2 (FF 3.6+) - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{1BC9BA34-1EED-42ca-A505-6D2F1A935BBB} [2015-05-30]
    FF Extension: Gmail Manager - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{582195F5-92E7-40a0-A127-DB71295901D7}.xpi [2015-05-30]
    FF Extension: RightToClick - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{cd617375-6743-4ee8-bac4-fbf10f35729e}.xpi [2015-05-30]
    FF Extension: Flashblock - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a} [2015-05-30]
    FF Extension: Tab Mix Plus - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{dc572301-7619-498c-a57d-39143191b318}.xpi [2015-09-02]
    FF Extension: skipcerterrorfoudilfr - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\skipcerterror@foudil.fr [2015-09-25] [not signed]
    FF Extension: FireFTP - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f} [2015-11-25]
    FF Extension: WOT - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} [2015-11-28]
    FF Extension: Element Hiding Helper for Adblock Plus - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\elemhidehelper@adblockplus.org.xpi [2015-11-27]
    FF Extension: Yandex — Homepage - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\homeutil@yandex.ru.xpi [2015-09-21] [not signed]
    FF Extension: Поиск@Mail.Ru - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\search@mail.ru.xpi [2015-10-27]
    FF Extension: Flagfox - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b}.xpi [2015-11-19]
    FF Extension: Adblock Plus - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2015-11-27]
    FF Extension: Download Statusbar - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}.xpi [2015-05-30]
    FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
    FF Extension: ESET Smart Security Extension - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird [2013-04-27] [not signed]
     
     
  17. demolion
    Оффлайн

    demolion Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Живем в Украине. Не понял вопроса?

    adwcleaner ничего не обнаружил.

    Удалил расширения:
    RightToClick
    skipcerterrorfoudilfr
    Поиск@Mail.Ru
    Download Statusbar
    Yandex — Homepage

    Сайт inet123.ru - не знаком, удалил.

    Проблема исчезла...
    Спасибо Огромное!!!
     
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
      Код (Text):
      start
      CreateRestorePoint:
      HKU\S-1-5-21-1123561945-1767777339-682003330-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mail.ru/cnt/7227
      URLSearchHook: [S-1-5-21-1123561945-1767777339-682003330-500] ATTENTION => Default URLSearchHook is missing
      SearchScopes: HKLM -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
      SearchScopes: HKU\.DEFAULT -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
      SearchScopes: HKU\.DEFAULT -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
      SearchScopes: HKU\S-1-5-21-1123561945-1767777339-682003330-500 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn
      SearchScopes: HKU\S-1-5-21-1123561945-1767777339-682003330-500 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = hxxp://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-ktqk&cof=FORID%3A10&ie=utf-8&q={searchTerms}&sa=%CF%EE%E8%F1%EA&siteurl=inet123.ru%2F#881
      FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
      EmptyTemp:
      Reboot:
      end
      и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
      Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
      Компьютер будет перезагружен автоматически.
      Подробнее читайте в этом руководстве.
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
    --- Объединённое сообщение, 2 дек 2015, Дата первоначального сообщения: 2 дек 2015 ---

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.
    Подробнее читайте в этом руководстве.

    + напомню, что сборки это плохо. У вас много важных системных файлов пропатчено.
     
  19. demolion
    Оффлайн

    demolion Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Готово...
     

    Вложения:

  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):
      ;uVS v3.86.7 [http://dsrt.dyndns.org]
      ;Target OS: NTv5.1
      v385c
      BREG
      delall HTTP://GO.MAIL.RU/SEARCH?UTF8IN=1&FR=FFTBUFIX&Q=
      delall HTTP://GO.MAIL.RU/SEARCH?FR=NTG&Q=
      delall CHROME://MAIL.RU.TOOLBAR/CONTENT/NEWTAB.XUL
      zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\9ZESSEHQ.DEFAULT\SEARCHPLUGINS\INET123.XML
      bl 732B0A5D48D3C29F792DFBF317330FC0 2855
      delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\9ZESSEHQ.DEFAULT\SEARCHPLUGINS\INET123.XML
      delall HTTP://WWW.MAIL.RU/CNT/7227
      delall HTTP:\\WWW.MAIL.RU
      czoo
      restart
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.


    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';

      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
Статус темы:
Закрыта.

Поделиться этой страницей