Решена Во всех браузерах вылетают окна с рекламой!

Тема в разделе "Лечение компьютерных вирусов", создана пользователем jeck, 3 дек 2015.

Статус темы:
Закрыта.
  1. jeck
    Оффлайн

    jeck Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Здравствуйте! Проблема такая вылетают рекламные окна в браузерах, плюс подозреваю наличие Baiduhips ,Амиго и прочей дряни ! Помогите пожалуйста!
     

    Вложения:

  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

    Код (Text):
    eBay Worldwide [20131014]-->MsiExec.exe /I{A694AF57-9891-4D62-824C-7E55A1361A14}
    IObit Malware Fighter 3 [20151203]-->"C:\Program Files (x86)\IObit\IObit Malware Fighter\unins000.exe"
    IObit Uninstaller [20151203]-->"C:\Program Files (x86)\IObit\IObit Uninstaller\unins000.exe"
    Mobogenie [2014/12/30 17:20:50]-->C:\Program Files (x86)\Mobogenie\uninst.exe
    Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.) [2014/12/30 17:24:05]-->C:\PROGRA~2\MOVIES~1\Datamngr\SRTOOL~1\IE\UNINST~1.EXE /UN=IE /PID=^AG6
     
    деинсталируйте.
    Код (Text):
    MyWinLocker [20121217]-->MsiExec.exe /I{0B78ECB0-1A6B-4E6D-89D7-0E7CE77F0427}
    MyWinLocker 4 [20121217]-->MsiExec.exe /X{39F15B50-A977-4CA6-B1C3-6A8724CDA025}
    MyWinLocker Suite [20121217]-->"C:\Program Files (x86)\InstallShield Installation Information\{17DF9714-60C9-43C9-A9C2-32BCAED44CBE}\setup.exe" -runfromtemp -l0x0409  -removeonly
    MyWinLocker Suite [20121217]-->MsiExec.exe /X{17DF9714-60C9-43C9-A9C2-32BCAED44CBE}
    Skype Click to Call [20151119]-->MsiExec.exe /X{6D1221A9-17BF-4EC0-81F2-27D30EC30701}
     
    для чего 4 штуки установлено?

    Skype Click to Call - также удалите расширение из браузеров. Подробней тут Как сделать самый большой телефонный справочник? (Skype Click to Call )


    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
  3. jeck
    Оффлайн

    jeck Новый пользователь

    Сообщения:
    8
    Симпатии:
    0

    Вложения:

  4. jeck
    Оффлайн

    jeck Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    все программы удалил!
     
    Последнее редактирование: 3 дек 2015
  5. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    так и не сделали :(. Удаляйте эти программы.
    + к этим программам: Surfing Protection, SwiftSearch 1.10.0.25, Тут недорого version 2.8

    Скрипт напишу попозже, его всё равно надо будет выполнять после того как вы эту адварь деинсталируете.
     
  6. jeck
    Оффлайн

    jeck Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Я удалил eBay Worldwide IObit Malware Fighter 3 Mobogenie Movies Toolbar for Internet Explorer MyWinLocker Suite в списке только одна была и Skype Click to Call ! А программой IObit Uninstaller я как раз все и удаляю ! Че ее тоже грохнуть ? И плюс то что вы написали позже: Surfing Protection, SwiftSearch 1.10.0.25, Тут недорого version 2.8
    прост ноут не мой че смог сам удалил тут полно было ! Подозрения еще на " еда выполнения Visual Studio 2005 Tools for Office, второй выпуск"
     
  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):

      ;uVS v3.86.7 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.3
      v385c
      BREG
      sreg
      deldir %SystemDrive%\PROGRAM FILES (X86)\BAIDU\

      zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3198\NPQQPHONEMANAGEREXT.DLL
      delall \\?\C:\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3198\NPQQPHONEMANAGEREXT.DLL

      zoo %SystemRoot%\TEMP\GJFIX\2940
      bl 23F48B6C1EDD42AB1A6204F303A1F06A 129504
      delall \\?\C:\WINDOWS\TEMP\GJFIX\2940

      zoo %SystemRoot%\TEMP\3042
      delall \\?\C:\WINDOWS\TEMP\3042

      zoo %Sys32%\DRIVERS\BD0001.SYS
      bl 7CCBCD5004944E1FD2E2AA8552ED0F38 202704
      delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0001.SYS

      zoo %Sys32%\DRIVERS\BD0002.SYS
      bl FB293B5CAF1F027CCB777419AD3C35D0 198600
      delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BD0002.SYS

      zoo %Sys32%\DRIVERS\BDDEFENSE.SYS
      bl 614AF90CB4CC2F991F611085C5BBCE0D 103752
      delall \\?\C:\WINDOWS\SYSTEM32\DRIVERS\BDDEFENSE.SYS

      zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
      bl 16E27465FC02E6974704FD2187E92144 1097272
      delall \\?\C:\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE

      zoo %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT
      bl 6F29B3E94683A431340CDEF92D204753 665952
      delall \\?\C:\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT

      zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.500\SDKCLIENT.DLL
      bl C3BAD999F4C1C539650751EEADEC50F1 634936
      delall \\?\C:\USERS\1\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.500\SDKCLIENT.DLL

      zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.500\MSVCR100.DLL
      bl 0E37FBFA79D349D672456923EC5FBBE3 773968
      delall \\?\C:\USERS\1\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.500\MSVCR100.DLL

      zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.500\ANDROIDDEVICE.DLL
      bl B13B48E7DF69B18B6AE7FC34F4CDDADC 264760
      delall \\?\C:\USERS\1\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.500\ANDROIDDEVICE.DLL

      zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.500\ANDROIDSERVERUP.EXE
      bl 0EF1E70EF42BB90DF5A35C0411B76006 205368
      delall \\?\C:\USERS\1\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.500\ANDROIDSERVERUP.EXE

      dirzooex %SystemDrive%\USERS\1\APPDATA\LOCAL\KOMETA\
      deldir %SystemDrive%\USERS\1\APPDATA\LOCAL\KOMETA\
      dirzooex %SystemDrive%\USERS\1\APPDATA\ROAMING\NEWNEXT.ME
      deldir %SystemDrive%\USERS\1\APPDATA\ROAMING\NEWNEXT.ME
      dirzooex %SystemDrive%\PROGRAM FILES (X86)\MOVIES TOOLBAR\
      deldir %SystemDrive%\PROGRAM FILES (X86)\MOVIES TOOLBAR\DATAMNGR\X64
      dirzooex %SystemDrive%\PROGRAM FILES (X86)\SWIFTSEARCH_1.10.0.25\
      deldir %SystemDrive%\PROGRAM FILES (X86)\SWIFTSEARCH_1.10.0.25\
      deldir %SystemDrive%\USERS\1\APPDATA\ROAMING\TENCENT\
      dirzoo %SystemDrive%\PROGRAMDATA\YWMINIPROY
      deldir %SystemDrive%\PROGRAMDATA\YWMINIPROY
      zoo %Sys32%\DRIVERS\SWSEDRVR_VW_1_10_0_25.SYS
      bl 5599862C76E1E889E5DA8820E9756E6E 57720
      delall %Sys32%\DRIVERS\SWSEDRVR_VW_1_10_0_25.SYS
      delall %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC\4.0.5_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
      delall %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI\4.0.5_1\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
      delall %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GNDACICECCGAPJHPNIECKNJLMMLANAEM\2.0.2_1\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
      delall %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_1\ПОИСК MAIL.RU
      delall HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q=
      delall HTTP://WWW.MAIL.RU/CNT/8731
      delall HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/
      czoo
      areg
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.

    сделайте свежий образ автозапуска.
    --- Объединённое сообщение, 3 дек 2015, Дата первоначального сообщения: 3 дек 2015 ---
    Советую удалить и поставить программу от другой фирмы (не замешанной в распространение адвари), либо просто пользоваться штатным удалением через установку и удаление программ. Так как все эти деинсталяторы попросту запускают штатный деинсталятор.

    Это легал, просто название криво написано, на самом деле это "Среда выполнения Visual Studio 2005 Tools for Office, второй выпуск".

    А также советую поставить антивирус.
     
  8. jeck
    Оффлайн

    jeck Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Стоит Avast free , письмо отправил ! Лог вот.
    Спасибо за помощь !
     

    Вложения:

  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    странно в общем списке установленных есть, а в списке антивирусной защиты нет, так что наверно некорректно установлен. Советую переустановить его (деинсталировать и установить заново).

    1)
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):
      ;uVS v3.86.7 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.3
      v385c
      BREG
      delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
      delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\4.0.0.6697\UNINST.EXE
      delall %SystemDrive%\USERS\1\APPDATA\LOCAL\KOMETA\APPLICATION\KOMETA.EXE
      delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3198\NPQQPHONEMANAGEREXT.DLL
      restart
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
    6. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    7. Подробнее читайте в этом руководстве.

    2)
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
    --- Объединённое сообщение, 3 дек 2015, Дата первоначального сообщения: 3 дек 2015 ---
    на этот анинсталер у др. Веба даже детект есть ))) https://www.virustotal.com/file/418...5995b3185fd2f9118d0d6968fc8738846dd/analysis/
     
  10. jeck
    Оффлайн

    jeck Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Вот лог ADW а в Uvz у меня тоже только лог вышел никакого архива прикреплю его тоже на почту отправлять?
     

    Вложения:

  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
     
  12. jeck
    Оффлайн

    jeck Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Вот!
     

    Вложения:

  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    что с проблемой?
     
  14. jeck
    Оффлайн

    jeck Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Пока все хорошо ! Спасибо !
     
  15. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';

      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
Статус темы:
Закрыта.

Поделиться этой страницей