Решена Появление всплывающей рекламы...

Статус
В этой теме нельзя размещать новые ответы.

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Пользователь жалуется на то, что при попытке скачать Word или Excel (сиречь MS Office) у него после скачки (а скачать так и не получилось) начала появляться всплывающая реклама на страницах браузера (Google Chrome). Логи во вложении, просьба глянуть, что на этом компе не так.

Также жалуется на программы, которые поставились без его ведома (игры).
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,941
Реакции
1,757
Баллы
503
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Good Chrome
SchedTaskSetup
YoutubeDownloader
Zaxar Games Browser 4
Служба автоматического обновления программ
Что не удалится стандартно, удаляйте принудительно через Revo Uninstall.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\izhmcfrdqie\yobdrpkljl.exe');
 TerminateProcessByName('c:\program files\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('c:\program files\zaxar\zaxarloader.exe');
 TerminateProcessByName('c:\users\ПОльзователь\appdata\roaming\schedtasksetup\sched.exe');
 QuarantineFile('C:\Program Files\fnPaJQZyeiYpfygOWnR\YNzAeQT.dll', '');
 QuarantineFile('C:\Program Files\iZhmcFrdQIE\klNcNoGo.dll', '');
 QuarantineFile('c:\program files\izhmcfrdqie\yobdrpkljl.exe', '');
 QuarantineFile('C:\Program Files\lFfTovwAFQMrC\JwBLvFw.dll', '');
 QuarantineFile('C:\Program Files\nPcIvKnkFinU2\IotgyReEGaFcs.dll', '');
 QuarantineFile('C:\Program Files\priPbkELU\ogREac.dll', '');
 QuarantineFile('C:\Program Files\Zaxar\libjsons.dll', '');
 QuarantineFile('C:\Program Files\Zaxar\QtWebKit4.dll', '');
 QuarantineFile('c:\program files\zaxar\zaxargamebrowser.exe', '');
 QuarantineFile('c:\program files\zaxar\zaxarloader.exe', '');
 QuarantineFile('C:\ProgramData\LpgGfxGjetDHvVVB\tOBvxPc.wsf', '');
 QuarantineFile('C:\Users\ПОльзователь\AppData\Local\Good Chrome\Application\goodchromeupdate.exe', '');
 QuarantineFile('C:\Users\ПОльзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\ПОльзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте в браузере Good Chrome.lnk', '');
 QuarantineFile('C:\Users\ПОльзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники в браузере Good Chrome.lnk', '');
 QuarantineFile('c:\users\ПОльзователь\appdata\roaming\schedtasksetup\sched.exe', '');
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Good Chrome Update');
 DeleteSchedulerTask('ImuiESGRLUmPUprjHGW2');
 DeleteSchedulerTask('kdKZUyTimeniOb');
 DeleteSchedulerTask('mjIRcknPgtYnU2');
 DeleteSchedulerTask('UjyqmGPXSLNtWvH2');
 DeleteSchedulerTask('XhTxmRHsepkzJLwrJ2');
 DeleteFile('C:\Program Files\fnPaJQZyeiYpfygOWnR\YNzAeQT.dll', '32');
 DeleteFile('C:\Program Files\iZhmcFrdQIE\klNcNoGo.dll', '32');
 DeleteFile('c:\program files\izhmcfrdqie\yobdrpkljl.exe', '32');
 DeleteFile('C:\Program Files\lFfTovwAFQMrC\JwBLvFw.dll', '32');
 DeleteFile('C:\Program Files\nPcIvKnkFinU2\IotgyReEGaFcs.dll', '32');
 DeleteFile('C:\Program Files\priPbkELU\ogREac.dll', '32');
 DeleteFile('C:\Program Files\Zaxar\libjsons.dll', '');
 DeleteFile('C:\Program Files\Zaxar\QtWebKit4.dll', '');
 DeleteFile('c:\program files\zaxar\zaxargamebrowser.exe', '');
 DeleteFile('c:\program files\zaxar\zaxarloader.exe', '');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\ProgramData\LpgGfxGjetDHvVVB\tOBvxPc.wsf', '32');
 DeleteFile('C:\Users\ПОльзователь\AppData\Local\Good Chrome\Application\goodchromeupdate.exe', '32');
 DeleteFile('C:\Users\ПОльзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteFile('C:\Users\ПОльзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте в браузере Good Chrome.lnk');
 DeleteFile('C:\Users\ПОльзователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники в браузере Good Chrome.lnk');
 DeleteFile('c:\users\ПОльзователь\appdata\roaming\schedtasksetup\sched.exe', '32');
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteDirectory('c:\program files\zaxar');
 DelBHO('{1CCFB9EB-3420-47CA-9624-3BC20B074C7F}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SchedTaskSetup', 'x32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Прикрепите к следующему сообщению свежий CollectionLog.
 

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Все выполнено, карантин отправлен.

Свежий лог Autologger'a во вложении.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,720
Реакции
13,185
Баллы
2,203
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Выполнено. Лог во вложении
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,720
Реакции
13,185
Баллы
2,203
Удалите все найденное, кроме mail.ru (если используете), если нет, то удалите все.
 

akok

Команда форума
Администратор
Сообщения
16,720
Реакции
13,185
Баллы
2,203
Зависит от симптомов, реклама появляется?
 

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
При открытии Яндекс-новостей выскакивает вот такая вот картинка (см. вложение):
"... На вашем компьютере обнаружен вирус, подменяющий рекламные объявления...".
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,720
Реакции
13,185
Баллы
2,203
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Логи FRST во вложении.

P.S. Также видел, что сама открылась вкладка браузера (Google Chrome) с рекламой казино "Вулкан".
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,941
Реакции
1,757
Баллы
503
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    HKU\S-1-5-21-3001555062-1595173950-292113197-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
    URLSearchHook: HKU\S-1-5-21-3001555062-1595173950-292113197-1000 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} -  No File
    CHR HomePage: Default -> inline.go.mail.ru
    CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
    CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> cdn
    C:\Users\ПОльзователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdhpacfhljhcombkalcmkahkhodpkbim
    C:\Users\ПОльзователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
    CHR HKLM\...\Chrome\Extension: [gndoicapfdaldiokbcdnllfhnapokcbk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [ikpcpgklmefncbfgbdifkaphbaapgafh] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [mdhpacfhljhcombkalcmkahkhodpkbim] - hxxps://clients2.google.com/service/update2/crx
    FirewallRules: [{1683EA21-BEC7-442C-8E4E-B0B0FEDB1C1C}] => (Allow) C:\Program Files\Zaxar\zaxarloader.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Здравствуйте!

Выполнено.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,720
Реакции
13,185
Баллы
2,203
Что с проблемой?
 

akok

Команда форума
Администратор
Сообщения
16,720
Реакции
13,185
Баллы
2,203
Это в яндексе и хроме или только в одном браузере?
 

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
только в хроме, в других (IE и Опера) вроде нет.
 

akok

Команда форума
Администратор
Сообщения
16,720
Реакции
13,185
Баллы
2,203
Отключите расширения chrome в том числе и служебные. Если реклама пропадет, включайте поочередно, пока не поймете какой расширение дает рекламу.
Название проблемного расширения сообщите.
 

Razey

Активный пользователь
Сообщения
660
Реакции
30
Баллы
408
Отключите расширения chrome в том числе и служебные.
Странное дело... ничего не понимаю...
Напишу, как делал:

Сначала начал отключать по одному каждое расширение в Google Chrome (а их несколько: Avast Online Security; Avast SafePrice; EveryDay Holiday (Find out what holiday is today in different countries); Google Документы офлайн; Документы; Презентации.

При отключении "по одному" не удалось конкретно выявить проблемное расширение, сообщение о "заразе" то появлялось, то исчезало при отключении и включении разных расширений

Тогда сделал по-другому - отключил все и начал включать по одному. А вот тут и загвоздка: сообщение "о заразе" больше так ни разу и не появилось... Перезапускал браузер несколько раз - то же...

P.S. Сам лично думаю на EveryDay Holiday - не локализованное, поэтому наиболее подозрительное...
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу