• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена баннеры в FireFox

Статус
В этой теме нельзя размещать новые ответы.

djmt

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
В FireFox после загрузки исходной страницы(например yandex.ru) происходит самопроизвольное обновление страницы с загрузкой кучи баннеров. при попытке перехода по любой ссылке открывается рекламная страница с новом окне. Периодически наблюдается перехват исходной страницы этой же гадостью, которая плодит баннеры.
В браузерах Chrome, IE, Opera проблема не наблюдается. В опере как только появились баннеры, удалил расширения с "кривыми" названиями и баннеры перестали появляться. Crome и IE, несмотря на наличие подобных расширений, проблема не появлялась. FireFox переустанавливал с полной очисткой всего что с ним было связано. В portable версии FireFox проблема не наблюдается.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
EXPERTool - деинсталлируйте

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 

djmt

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
EXPERTool - это родная утилита управления видеокартой, но фиг с ней переживем. Снес ее.
AdwCleaner ничего подозрительного не показывает.
вот результат перехода в firefox со страницы yandex.ru по ссылке "маркет"(market.yandex.ru)
firefox.jpg
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,080
Реакции
6,133
Баллы
993
Рекламные ссылки прописаны.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Кирилл

Команда форума
Администратор
Сообщения
14,080
Реакции
6,133
Баллы
993
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3315997795-3273719350-2095500869-1001\...\MountPoints2: {aa662704-3cef-11e3-bed1-60a44c5fa0d3} - "I:\AutoRun.exe" 
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} =>  No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391545201&from=cor&uid=PLEXTORXPX-128M5Pro_P02344105042&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391545201&from=cor&uid=PLEXTORXPX-128M5Pro_P02344105042&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3315997795-3273719350-2095500869-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391545201&from=cor&uid=PLEXTORXPX-128M5Pro_P02344105042&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3315997795-3273719350-2095500869-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391545201&from=cor&uid=PLEXTORXPX-128M5Pro_P02344105042&q={searchTerms}
ShellExecuteHooks-x32:  - {16664848-0E00-11D2-8059-000000000000} -  No File [ ]
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.delta-homes.com/?type=sc&ts=1402562498&from=wpm0612&uid=PLEXTORXPX-128M5Pro_P02344105042
2015-04-07 23:40 - 2015-04-07 23:40 - 00127092 _____ () C:\Users\djmt\AppData\Roaming\51BAC76BD479F3566A7D3C46F5D8730F
2015-04-07 23:40 - 2015-04-07 23:40 - 00116721 _____ () C:\Users\djmt\AppData\Roaming\31008EBFBAAD199FB8ACD3E3659E3F58
2015-04-07 23:40 - 2015-04-07 23:40 - 00104304 _____ () C:\Users\djmt\AppData\Roaming\7DB23B23631C0CC9AE2FA9CF0DB8C100
2015-04-01 21:42 - 2015-04-06 23:25 - 00000004 _____ () C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
HKU\S-1-5-21-3315997795-3273719350-2095500869-1001\Software\Classes\.exe:  =>  <===== ATTENTION!
HKU\S-1-5-21-3315997795-3273719350-2095500869-1001\Software\Classes\exefile:  <===== ATTENTION!
HKU\S-1-5-21-3315997795-3273719350-2095500869-1001\...\StartupApproved\Run: => ""
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите о наличии проблем.
 

djmt

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
Проблема осталась
 

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,564
Баллы
593
Расширение Adblock в Опера какую версию имеет?

Расширения
yellow cabs
elioihkkcdgakfbahdoddophfngopipi
сами устанавливали в Опера?

Интернет через роутер?
 

Кирилл

Команда форума
Администратор
Сообщения
14,080
Реакции
6,133
Баллы
993
+ дополнительно

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\priceru.xml [2015-04-03]
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

После перезагрузки сообщите не полегчало ли.
 
Последнее редактирование:

djmt

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
Расширение Adblock в Опера какую версию имеет?

Расширения
сами устанавливали в Опера?

Интернет через роутер?
указанные расширения не устанавливал, интернет через роутер, но в Portable Firefox проблема отсутствует.

+ дополнительно

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\priceru.xml [2015-04-03]
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

После перезагрузки сообщите не полегчало ли.
Нет, эти сайты и адвари bycontent лезут и лезут и только в установленном в систему FireFox
AdBlock самый свеженький - Версия 2.24
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
14,080
Реакции
6,133
Баллы
993
Попробуйте отключить расширения браузера - проверить не пропадет ли реклама.
+
Запустите avz - сервис - поиск данных в реестре.
Введите bycontent (исправьте если я написал с ошибкой имя сайта.)
Найденное сохраните и прикрепите.
 

icotonev

Ассоциация VN
Сообщения
1,426
Реакции
1,156
Баллы
553
Здравствуйте! Чтобы сделать следующее


Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:
Folder: C:\Program Files (x86)\Mozilla Firefox\browser\defaults\preferences
Folder: C:\Program Files (x86)\Mozilla Firefox\defaults\pref
cmd: type "C:\Program Files (x86)\Mozilla Firefox\my.cfg"
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Это не скрипт для очистки, но только для информации, чтобы проблема не будет решена после него, но, основываясь на информации, в нем будет в состоянии создать новый, чтобы решить эту проблему.
 

djmt

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
Попробуйте отключить расширения браузера - проверить не пропадет ли реклама.
+
Запустите avz - сервис - поиск данных в реестре.
Введите bycontent (исправьте если я написал с ошибкой имя сайта.)
Найденное сохраните и прикрепите.
по bycontext ничего не нашлось, поснифил firefox во время появлений адварь, постоянные запросы на домен akamaihd.net, провел поиск по нему нашел несколько ключей со скриптами к программам, которые я не устанавливал файл прикрепил.
так же провожу поиск по другим доменам к которым обращается firefox во время самопроизвольных обновлений запрошенной страницы...

Здравствуйте! Чтобы сделать следующее


Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:
Folder: C:\Program Files (x86)\Mozilla Firefox\browser\defaults\preferences
Folder: C:\Program Files (x86)\Mozilla Firefox\defaults\pref
cmd: type "C:\Program Files (x86)\Mozilla Firefox\my.cfg"
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Это не скрипт для очистки, но только для информации, чтобы проблема не будет решена после него, но, основываясь на информации, в нем будет в состоянии создать новый, чтобы решить эту проблему.
сделал, файл прикрепил.
добавил результат поиска по noproblemppc
добавил результат поиска по tlscdn
это все что нашел...
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,901
Баллы
1,008
Код:
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Ge-Force\
Навсякий случай сделайте экспорт этого ключа, а потом удалите он от адвари "Ads by Ge-Forces".
OPR Extension: (yellow cabs) - C:\Users\djmt\AppData\Roaming\Opera Software\Opera Stable\Extensions\dlabcihlajghaekmikmkncdhekcaaenl [2015-04-01]
это расширение из Оперы удалите, это тоже адварь.

Проверьте при запуске браузера в безопасном режиме проблема наблюдается?
 

icotonev

Ассоциация VN
Сообщения
1,426
Реакции
1,156
Баллы
553
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:
start
C:\Program Files (x86)\Mozilla Firefox\browser\defaults\preferences\my-prefs.js
C:\Program Files (x86)\Mozilla Firefox\my.cfg
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите о наличии проблем...?!?
 

djmt

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
Код:
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Ge-Force\
Навсякий случай сделайте экспорт этого ключа, а потом удалите он от адвари "Ads by Ge-Forces".
это расширение из Оперы удалите, это тоже адварь.

Проверьте при запуске браузера в безопасном режиме проблема наблюдается?
Само расширение в опере удалено, файлы с папкой остались, удалил.

Ge-Force, SavePass 1.1 и Sense - это все адвари, их почикал еще CureIt от DrWeb. непонятно почему ключи со скриптами оставил.
Эпопея длится уже с месяц, жаль сразу на этот форум не набрел.
все их ключики сохранил и удалил, для анализа(если нужно) прилагаю.

после удаления всех ключей и при запуске в безопасном режиме - проблема осталась.
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:
start
C:\Program Files (x86)\Mozilla Firefox\browser\defaults\preferences\my-prefs.js
C:\Program Files (x86)\Mozilla Firefox\my.cfg
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите о наличии проблем...?!?
выполнил, лог прилагаю.
Проблема исчезла!
Непонятно как эта гадость появлялась в конфиге, если firefox полностью переустанавливался с полной чисткой всех хвостов?
Какие действия посоветуете провести для профилактики заражения?
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,901
Баллы
1,008
все их ключики сохранил и удалил, для анализа(если нужно) прилагаю.
спасибо, пригодится.

Удалите папку C:\FRST со всем содержимым.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
+
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу