1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Открывается автоматически реклама в браузере каждые 10-15 минут

Тема в разделе "Лечение компьютерных вирусов", создана пользователем yakobson07, 15 дек 2016.

  1. yakobson07
    Оффлайн

    yakobson07 Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Баллы:
    1
    Здравствуйте, помогите пожалуйста. После включения компьютера открывается самопроизвольно реклама, каждые минут 10-15. Даже если сижу не в браузере. Теперь переустановил виндоус ничего не изменилось
     

    Вложения:

  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.768
    Симпатии:
    4.766
    Баллы:
    593
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFileF('c:\users\яков\appdata\roaming\pbot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\яков\appdata\roaming\safeweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\яков\appdata\roaming\swext', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('C:\Users\Яков\AppData\Local\Temp\6CF.tmp.node', '');
     QuarantineFile('C:\Users\Яков\AppData\Roaming\PBot\ml.py', '');
     QuarantineFile('C:\Users\Яков\AppData\Roaming\SafeWeb\ml.py', '');
     QuarantineFile('C:\Users\Яков\AppData\Roaming\swEXT\ml.py', '');
     QuarantineFile('C:\Users\Яков\AppData\Roaming\PBot\updater.py', '');
     QuarantineFile('C:\Users\Яков\AppData\Roaming\SafeWeb\updater.py', '');
     QuarantineFile('C:\Users\Яков\AppData\Roaming\swEXT\updater.py', '');
     QuarantineFile('C:\Users\Яков\AppData\Roaming\Adobe\Manager.exe', '');
     DeleteFile('C:\Users\Яков\AppData\Roaming\Adobe\Manager.exe', '32');
     ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "PBot" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "PBot2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "swEXT" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "swEXT2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "InternetAA" /F', 0, 15000, true);
     DeleteFile('C:\Users\Яков\AppData\Local\Temp\6CF.tmp.node', '32');
     DeleteFile('C:\Users\Яков\AppData\Roaming\PBot\ml.py', '32');
     DeleteFile('C:\Users\Яков\AppData\Roaming\SafeWeb\ml.py', '32');
     DeleteFile('C:\Users\Яков\AppData\Roaming\swEXT\ml.py', '32');
     DeleteFile('C:\Users\Яков\AppData\Roaming\PBot\updater.py', '32');
     DeleteFile('C:\Users\Яков\AppData\Roaming\SafeWeb\updater.py', '32');
     DeleteFile('C:\Users\Яков\AppData\Roaming\swEXT\updater.py', '32');
     DeleteFileMask('c:\users\яков\appdata\roaming\pbot', '*', true);
     DeleteFileMask('c:\users\яков\appdata\roaming\safeweb', '*', true);
     DeleteFileMask('c:\users\яков\appdata\roaming\swext', '*', true);
     DeleteDirectory('c:\users\яков\appdata\roaming\pbot');
     DeleteDirectory('c:\users\яков\appdata\roaming\safeweb');
     DeleteDirectory('c:\users\яков\appdata\roaming\swext');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','swEXT');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    К сообщению прикреплять карантин не нужно!

    Выполните скрипт в Farbar Recovery Scan Tool
    Код (Text):
    start
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
    C:\Users\Яков\AppData\Local\Temp\2966.tmp.exe
    C:\Users\Яков\AppData\Local\Temp\6db3c033-e186-4f53-9651-93452e216d60.exe
    EmptyTemp:
    Reboot:
    end
    Подготовьте новый CollectionLog.
    Подготовьте лог AdwCleaner.
     
    Последнее редактирование: 17 дек 2016
  4. yakobson07
    Оффлайн

    yakobson07 Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Баллы:
    1
    Всё сделал как написано. Вот файлы
     

    Вложения:

  5. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.768
    Симпатии:
    4.766
    Баллы:
    593
    А лог, который после выполнения скрипта?
    +
    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Users\Яков\AppData\Roaming\Adobe\Manager.exe', '');
     ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
     DeleteFile('C:\Users\Яков\AppData\Roaming\Adobe\Manager.exe', '32');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    К сообщению прикреплять карантин не нужно!
    +
    Почистите кэш и куки в браузерах.
    +
    Подготовьте новый CollectionLog.

    Что с проблемой?
     
  6. yakobson07
    Оффлайн

    yakobson07 Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Баллы:
    1
    Файл quarantine.zip я отправил на сайт с помощью предоставленной формы. (написано что к сообщению не надо было прикреплять)
    Проблему пока не наблюдаю
     

    Вложения:

    Последнее редактирование: 17 дек 2016
  7. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.768
    Симпатии:
    4.766
    Баллы:
    593
  8. yakobson07
    Оффлайн

    yakobson07 Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Баллы:
    1
    Сделал
     

    Вложения:

  9. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.768
    Симпатии:
    4.766
    Баллы:
    593
    Точно из безопасного режима выполняли скрипт?
    Не хочет выковыриваться...сделайте свежие логи Farbar Recovery Scan Tool
     
  10. yakobson07
    Оффлайн

    yakobson07 Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Баллы:
    1
    Точно из безопасного. Свежие логи
     

    Вложения:

    • FRST.txt
      Размер файла:
      46 КБ
      Просмотров:
      6
    • Addition.txt
      Размер файла:
      37,1 КБ
      Просмотров:
      8
    • Shortcut.txt
      Размер файла:
      42,3 КБ
      Просмотров:
      1
  11. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.768
    Симпатии:
    4.766
    Баллы:
    593
    Выполните скрипт в Farbar Recovery Scan Tool
    Код (Text):
    start
    CreateRestorePoint:
    Task: {82EE9899-AF72-4B56-A76E-119DD1939BFE} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\Яков\AppData\Roaming\Adobe\Manager.exe
    Task: {0ECEDCA7-96AE-4140-9958-706017335222} - System32\Tasks\Microsoft\Windows\Media Center\VCore => C:\ProgramData\vCore\VCore.exe [2016-11-10] () <==== ATTENTION
    CHR Extension: (SafeWeb) - C:\Users\Яков\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\obiloekfjckpojghcgmhapimfmcjmbgi [2016-12-08]
    CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Яков\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-12-08]
    CHR Extension: (Mail.Ru) - C:\Users\Яков\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-12-08]
    CHR Extension: (Fast search) - C:\Users\Яков\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-08]
    CHR Extension: (Fast search) - C:\Users\Яков\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-08]
    2016-12-08 20:29 - 2016-12-17 15:09 - 00000000 ____D C:\Users\Яков\AppData\Roaming\PBot
    2016-12-08 20:29 - 2016-12-08 23:29 - 00000000 ____D C:\Users\Все пользователи\vCore
    2016-12-08 20:29 - 2016-12-08 23:29 - 00000000 ____D C:\ProgramData\vCore
    2016-12-08 20:29 - 2016-12-08 20:32 - 00000000 ____D C:\Users\Все пользователи\ProductData
    2016-12-08 20:29 - 2016-12-08 20:32 - 00000000 ____D C:\ProgramData\ProductData
    EmptyTemp:
    Reboot:
    end
     
  12. yakobson07
    Оффлайн

    yakobson07 Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Баллы:
    1
    вот
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      4,6 КБ
      Просмотров:
      9
  13. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.768
    Симпатии:
    4.766
    Баллы:
    593
    Подготовьте новый CollectionLog.

    Что с проблемой?
     
  14. yakobson07
    Оффлайн

    yakobson07 Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Баллы:
    1
    еще есть
     

    Вложения:

  15. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.768
    Симпатии:
    4.766
    Баллы:
    593
    Реклама запускается в браузере...каком?
     
  16. yakobson07
    Оффлайн

    yakobson07 Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Баллы:
    1
    У меня раньше стояла 7ка и открывалось в гугл хроме, теперь поставил 8.1 и стоит яндекс, и когда реклама открывается он српашивает "как открывать ссылки такого разрешения" (вроде так), если выбрать через браузер (сейчас яндекс) то и будет реклама
     
  17. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.768
    Симпатии:
    4.766
    Баллы:
    593
  18. yakobson07
    Оффлайн

    yakobson07 Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Баллы:
    1
    лог
     

    Вложения:

  19. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.768
    Симпатии:
    4.766
    Баллы:
    593
  20. yakobson07
    Оффлайн

    yakobson07 Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Баллы:
    1
    другие браузеры не установлены, стоит только IE но им не пользуюсь
     

    Вложения:

  21. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.768
    Симпатии:
    4.766
    Баллы:
    593
    Вот теперь удалился. Чисто.
    Вас и не заставляют пользоваться, а просят проверить.
    У вас установлены:Internet Explore, FireFox, Chrome.
    Вот в них и проверьте.
    А в Chrome к тому же куча расширений, которые скорее всего и являются источником этой рекламы.
    Поэтому нужно удалить\отключить все, которые вы сами не устанавливали или не пользуетесь.
     

Поделиться этой страницей