Решена Открывается автоматически реклама в браузере каждые 10-15 минут

yakobson07

Новый пользователь
Сообщения
19
Реакции
0
Здравствуйте, помогите пожалуйста. После включения компьютера открывается самопроизвольно реклама, каждые минут 10-15. Даже если сижу не в браузере. Теперь переустановил виндоус ничего не изменилось
 

Вложения

  • Addition.txt
    35.5 KB · Просмотры: 10
  • FRST.txt
    90.1 KB · Просмотры: 8
  • Shortcut.txt
    42.9 KB · Просмотры: 2
  • ClearLNK-15.12.2016_14-05.log
    3 KB · Просмотры: 3
  • CollectionLog-2016.12.15-13.34.zip
    77.7 KB · Просмотры: 20
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\яков\appdata\roaming\pbot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\яков\appdata\roaming\safeweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\яков\appdata\roaming\swext', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Яков\AppData\Local\Temp\6CF.tmp.node', '');
 QuarantineFile('C:\Users\Яков\AppData\Roaming\PBot\ml.py', '');
 QuarantineFile('C:\Users\Яков\AppData\Roaming\SafeWeb\ml.py', '');
 QuarantineFile('C:\Users\Яков\AppData\Roaming\swEXT\ml.py', '');
 QuarantineFile('C:\Users\Яков\AppData\Roaming\PBot\updater.py', '');
 QuarantineFile('C:\Users\Яков\AppData\Roaming\SafeWeb\updater.py', '');
 QuarantineFile('C:\Users\Яков\AppData\Roaming\swEXT\updater.py', '');
 QuarantineFile('C:\Users\Яков\AppData\Roaming\Adobe\Manager.exe', '');
 DeleteFile('C:\Users\Яков\AppData\Roaming\Adobe\Manager.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PBot" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PBot2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "swEXT" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "swEXT2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "InternetAA" /F', 0, 15000, true);
 DeleteFile('C:\Users\Яков\AppData\Local\Temp\6CF.tmp.node', '32');
 DeleteFile('C:\Users\Яков\AppData\Roaming\PBot\ml.py', '32');
 DeleteFile('C:\Users\Яков\AppData\Roaming\SafeWeb\ml.py', '32');
 DeleteFile('C:\Users\Яков\AppData\Roaming\swEXT\ml.py', '32');
 DeleteFile('C:\Users\Яков\AppData\Roaming\PBot\updater.py', '32');
 DeleteFile('C:\Users\Яков\AppData\Roaming\SafeWeb\updater.py', '32');
 DeleteFile('C:\Users\Яков\AppData\Roaming\swEXT\updater.py', '32');
 DeleteFileMask('c:\users\яков\appdata\roaming\pbot', '*', true);
 DeleteFileMask('c:\users\яков\appdata\roaming\safeweb', '*', true);
 DeleteFileMask('c:\users\яков\appdata\roaming\swext', '*', true);
 DeleteDirectory('c:\users\яков\appdata\roaming\pbot');
 DeleteDirectory('c:\users\яков\appdata\roaming\safeweb');
 DeleteDirectory('c:\users\яков\appdata\roaming\swext');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','swEXT');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Выполните скрипт в Farbar Recovery Scan Tool
Код:
start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
C:\Users\Яков\AppData\Local\Temp\2966.tmp.exe
C:\Users\Яков\AppData\Local\Temp\6db3c033-e186-4f53-9651-93452e216d60.exe
EmptyTemp:
Reboot:
end

Подготовьте новый CollectionLog.
Подготовьте лог AdwCleaner.
 
Последнее редактирование:
Всё сделал как написано. Вот файлы
 

Вложения

  • CollectionLog-2016.12.17-15.27.zip
    72.8 KB · Просмотры: 2
  • AdwCleaner[S1].txt
    1.8 KB · Просмотры: 2
Выполните скрипт в Farbar Recovery Scan Tool
А лог, который после выполнения скрипта?
+
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Яков\AppData\Roaming\Adobe\Manager.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 DeleteFile('C:\Users\Яков\AppData\Roaming\Adobe\Manager.exe', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!
+
Почистите кэш и куки в браузерах.
+
Подготовьте новый CollectionLog.

Что с проблемой?
 
Файл quarantine.zip я отправил на сайт с помощью предоставленной формы. (написано что к сообщению не надо было прикреплять)
Проблему пока не наблюдаю
 

Вложения

  • CollectionLog-2016.12.17-17.21.zip
    72.4 KB · Просмотры: 4
Последнее редактирование:
Сделал
 

Вложения

  • CollectionLog-2016.12.17-20.39.zip
    74.6 KB · Просмотры: 9
Точно из безопасного режима выполняли скрипт?
Не хочет выковыриваться...сделайте свежие логи Farbar Recovery Scan Tool
 
Точно из безопасного. Свежие логи
 

Вложения

  • FRST.txt
    46 KB · Просмотры: 6
  • Addition.txt
    37.1 KB · Просмотры: 8
  • Shortcut.txt
    42.3 KB · Просмотры: 1
Выполните скрипт в Farbar Recovery Scan Tool
Код:
start
CreateRestorePoint:
Task: {82EE9899-AF72-4B56-A76E-119DD1939BFE} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\Яков\AppData\Roaming\Adobe\Manager.exe
Task: {0ECEDCA7-96AE-4140-9958-706017335222} - System32\Tasks\Microsoft\Windows\Media Center\VCore => C:\ProgramData\vCore\VCore.exe [2016-11-10] () <==== ATTENTION
CHR Extension: (SafeWeb) - C:\Users\Яков\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\obiloekfjckpojghcgmhapimfmcjmbgi [2016-12-08]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Яков\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-12-08]
CHR Extension: (Mail.Ru) - C:\Users\Яков\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-12-08]
CHR Extension: (Fast search) - C:\Users\Яков\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-08]
CHR Extension: (Fast search) - C:\Users\Яков\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-08]
2016-12-08 20:29 - 2016-12-17 15:09 - 00000000 ____D C:\Users\Яков\AppData\Roaming\PBot
2016-12-08 20:29 - 2016-12-08 23:29 - 00000000 ____D C:\Users\Все пользователи\vCore
2016-12-08 20:29 - 2016-12-08 23:29 - 00000000 ____D C:\ProgramData\vCore
2016-12-08 20:29 - 2016-12-08 20:32 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-12-08 20:29 - 2016-12-08 20:32 - 00000000 ____D C:\ProgramData\ProductData
EmptyTemp:
Reboot:
end
 
еще есть
 

Вложения

  • CollectionLog-2016.12.18-16.29.zip
    61.8 KB · Просмотры: 6
У меня раньше стояла 7ка и открывалось в гугл хроме, теперь поставил 8.1 и стоит яндекс, и когда реклама открывается он српашивает "как открывать ссылки такого разрешения" (вроде так), если выбрать через браузер (сейчас яндекс) то и будет реклама
 
лог
 

Вложения

  • YAKOV_2016-12-18_17-09-24.rar
    652 KB · Просмотры: 5
другие браузеры не установлены, стоит только IE но им не пользуюсь
 

Вложения

  • YAKOV_2016-12-18_18-52-43.rar
    651.2 KB · Просмотры: 3
Вот теперь удалился. Чисто.
другие браузеры не установлены, стоит только IE но им не пользуюсь
Вас и не заставляют пользоваться, а просят проверить.
У вас установлены:Internet Explore, FireFox, Chrome.
Вот в них и проверьте.
А в Chrome к тому же куча расширений, которые скорее всего и являются источником этой рекламы.
Поэтому нужно удалить\отключить все, которые вы сами не устанавливали или не пользуетесь.
 
Назад
Сверху Снизу