• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена js/adware.revizer.e при работе любого браузера

Статус
В этой теме нельзя размещать новые ответы.

SummerRain

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
Здравствуйте. При открытии internet explorer вылезает блокировка доступа js/adware.revizer.e к работе через internet explorer. При открытии яндекс браузера блокирует доступ к сайту shopstorys.com. Пробовал сканировал Malwarebytes. Ничего не находит. Пробовал сканировать adwcleaner. Выходят угрозы, но при добавлении любой в карантин, возникает bsod и компьютер перезагружается. Прошу помощи в решении проблемы.
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,330
Реакции
13,794
Баллы
2,203
Пробовал сканировать adwcleaner. Выходят угрозы, но при добавлении любой в карантин, возникает bsod и компьютер перезагружается
Лог сканирования тоже прикрепите.

Прокси сами настраивали?

В том числе => 185.132.176.153

В остальном продолжим утром, на свежую голову.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,818
Реакции
1,952
Баллы
643
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
18,330
Реакции
13,794
Баллы
2,203
+++
Интернет через роутер?

My AdBlock - сами устаналивали?

Никакого софта для обхода блокировок тоже не устанавливали? Если нет, то

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = localhost;127.0.0.1;*.microsoft.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=127.0.0.1:8099;https=127.0.0.1:8099 (enabled)
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 1http=127.0.0.1:8099;https=127.0.0.1:8099
O17 - DHCP DNS 1: 185.132.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{003c1d04-9cc0-425e-9ba9-77c7cd3a0ad7}: [NameServer] = 185.132.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{003c1d04-9cc0-425e-9ba9-77c7cd3a0ad7}: [NameServer] = 185.132.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{8ee17ebd-c1ba-48e6-9419-35e4c75e6521}: [NameServer] = 185.132.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{8ee17ebd-c1ba-48e6-9419-35e4c75e6521}: [NameServer] = 185.132.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{9339a756-15af-11e9-b045-806e6f6e6963}: [NameServer] = 185.132.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{9339a756-15af-11e9-b045-806e6f6e6963}: [NameServer] = 185.132.176.153
 

SummerRain

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
Установлен только AdGuard в яндекс браузере.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,818
Реакции
1,952
Баллы
643
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,818
Реакции
1,952
Баллы
643
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    ProxyEnable: [S-1-5-21-2354758137-1344541848-85165862-1001] => Proxy is enabled.
    ProxyServer: [S-1-5-21-2354758137-1344541848-85165862-1001] => http=127.0.0.1:8099;https=127.0.0.1:8099
    Tcpip\..\Interfaces\{003c1d04-9cc0-425e-9ba9-77c7cd3a0ad7}: [NameServer] 185.132.176.153,185.132.176.153
    Tcpip\..\Interfaces\{8ee17ebd-c1ba-48e6-9419-35e4c75e6521}: [NameServer] 185.132.176.153,185.132.176.153
    Tcpip\..\Interfaces\{9339a756-15af-11e9-b045-806e6f6e6963}: [NameServer] 185.132.176.153,185.132.176.153
    ManualProxies: 1http=127.0.0.1:8099;https=127.0.0.1:8099
    CHR HKU\S-1-5-21-2354758137-1344541848-85165862-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
    2020-01-26 13:19 - 2020-01-26 13:19 - 000000000 ____D C:\ProgramData\Orbit
    AlternateDataStreams: C:\Users\Евгений\Application Data:77a575add9465d78c606d381e5f202fb [394]
    AlternateDataStreams: C:\Users\Евгений\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
    HKU\S-1-5-21-2354758137-1344541848-85165862-1001\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,818
Реакции
1,952
Баллы
643
Что сейчас с проблемой?
 
  • Like
Реакции: akok

SummerRain

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
Так же появляется. Пробовал выключить прокси в панели управления. Спустя время, прокси опять включается.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,330
Реакции
13,794
Баллы
2,203

SummerRain

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
Интернет через роутер
Вне браузера ничего не устанавливал блокирующего рекламу
My AdBlock удалил. Время помониторю и сообщу результат
Пока не появляется угроза. Завтра утром или вечером напишу результат.
 
Последнее редактирование:

SummerRain

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
При работе Internet Explorer больше не появляется. При работе яндекс браузера временами появляется.
 

akok

Команда форума
Администратор
Сообщения
18,330
Реакции
13,794
Баллы
2,203
Отключите расширения, в том числе и служебные. Если реклама пропадет, включайте поочередно, пока не поймете какой расширение дает рекламу.
Название проблемного расширения сообщите.
 

akok

Команда форума
Администратор
Сообщения
18,330
Реакции
13,794
Баллы
2,203
Заодно проверьте настройки роутера, есть ли записи с 185.132.176.153
 

SummerRain

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
Записей в роутере с 185.132.176.153 нету. На счет расширений попробую переустановить яндекс браузер.
 

SummerRain

Новый пользователь
Сообщения
10
Реакции
2
Баллы
3
Последил с пятницы до понедельника. Не появлялась больше. Думаю проблема решена. Спасибо за помощь в решении.
 

akok

Команда форума
Администратор
Сообщения
18,330
Реакции
13,794
Баллы
2,203
Отлично. Тогда завершающие шаги:
Для правильного удаления Farbar Recovery Scan Tool переименуйте исполняемый файл FRST64.exe (или FRST.exe) в Uninstall.exe
Запустите файл Uninstall.exe. Появится уведомление о необходимости перезагрузить систему для окончательного удаления Farbar Recovery Scan Tool.

Подготовьте лог SecurityCheck by glax24

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу