• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Постоянно открываются левые окна в браузере

Статус
В этой теме нельзя размещать новые ответы.

demolion

Активный пользователь
Сообщения
9
Реакции
0
Баллы
171
Доброго дня!!!
При работе в браузере периодически открываются различные сайты рекламной направленности... Пытался справится с помощью Esset Smart Security - нашел 180 вирусов, вылечил 79, но проблема не ушла... Помогите, плиззз...
 

Вложения

  • CollectionLog-2015.10.14-15.28.zip
    101.8 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,085
Реакции
6,258
Баллы
1,008
1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

2) Деинсталируйте следующие программы
Код:
CinemaPlus-4.2vV20.09 []-->C:\Program Files\CinemaPlus-4.2vV20.09\Uninstall.exe /fcp=1 /runexe='C:\Program Files\CinemaPlus-4.2vV20.09\UninstallBrw.exe' /url='http://notif.randkeygen.com/notf_sys/index.html' /brwtype='uni' /onerrorexe='C:\Program Files\CinemaPlus-4.2vV20.09\utils.exe' /crregname='CinemaPlus-4.2vV20.09' /appid='74253' /srcid='003230' /bic='73a9ee7d90a4a61ae4c1841efbbc6905IE' /verifier='ff41a18b270ea37d81ffc16aaedb8fab' /brwshtoms='15000' /installerversion='1_36_01_22' /statsdomain='http://stats.randkeygen.com/utility.gif?' /errorsdomain='http://errors.randkeygen.com/utility.gif?' /monetizationdomain='http://logs.randkeygen.com/monetization.gif?'
globalupdate Helper []-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Guard@Mail.Ru []-->"C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe" /uninstall
McAfee Security Scan Plus []-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
Служба автоматического обновления программ [2015/09/21 10:26:38]-->C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe uninstall
Спутник@Mail.Ru []-->C:\Program Files\Mail.Ru\Sputnik\mailrusputnik.exe uninstall
Если вам не знакомо/не пользуетесь, то ещё
Код:
Интернет [20130317]-->"C:\Documents and Settings\Admin\Local Settings\Application Data\Xpom\Application\28.1.1500.75\Installer\setup.exe" --uninstall
HP Customer Participation Program 9.0 []-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat


3)
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

demolion

Активный пользователь
Сообщения
9
Реакции
0
Баллы
171
Выполнил все назначения
Загрузил архив - MD5: 45381F271B43F5699CE4E1541A228CC7
Результат работы AdwCleaner во вложении
 

Вложения

  • AdwCleaner[S2].txt
    11.3 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,085
Реакции
6,258
Баллы
1,008
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
 

demolion

Активный пользователь
Сообщения
9
Реакции
0
Баллы
171
Выполнено...
Проблема пока продолжает наблюдаться...
 

Вложения

  • AdwCleaner[C1].txt
    11.9 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,085
Реакции
6,258
Баллы
1,008
Свежий лог AdwCleaner-а сделайте.

+ Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

demolion

Активный пользователь
Сообщения
9
Реакции
0
Баллы
171
AdwCleaner ничего не обнаружил...
 

Вложения

  • CollectionLog-2015.10.14-17.50.zip
    47.9 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,085
Реакции
6,258
Баллы
1,008
1)
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


2) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


3)
globalupdate Helper []-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
До сих пор не удалили.
 

demolion

Активный пользователь
Сообщения
9
Реакции
0
Баллы
171
globalupdate Helper []-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
- не могу удалить, деинсталятор не запускается... Что-то посоветуете?
 

Вложения

  • Shortcut.txt
    93.9 KB · Просмотры: 1
  • Addition.txt
    40.9 KB · Просмотры: 1
  • FRST.txt
    57.2 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,085
Реакции
6,258
Баллы
1,008
1) Включите восстановление системы! И сделайте точку для восстановления.

2)
- деинсталируйте это устаревшая версия Java имеющая уязвимости.

3)
Код:
C:\Program Files\mozilla firefox\browser\defaults\preferences\prefs.js
C:\Program Files\mozilla firefox\cfg

заархивируйте и прикрепите к сообщению.

4) Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> => No File
BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\Sputnik\IESearchPlugin.dll => No File
Toolbar: HKU\S-1-5-21-1123561945-1767777339-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
FF ExtraCheck: C:\Program Files\mozilla firefox\browser\defaults\preferences\prefs.js [2015-09-25] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files\mozilla firefox\cfg [2015-09-25] <==== ATTENTION
globalupdate Helper (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION

EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

5)
- не могу удалить, деинсталятор не запускается... Что-то посоветуете?
после этих действий попробуйте снова деинсталировать.
 

demolion

Активный пользователь
Сообщения
9
Реакции
0
Баллы
171
Прошу прощения за столь длинную паузу - не было доступа к компьютеру...
Все сделал, вроде удалилось...
Проблема пока осталась...
 

Вложения

  • mozilla_files.zip
    2.9 KB · Просмотры: 5
  • Fixlog.txt
    2.4 KB · Просмотры: 3
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
20,028
Реакции
13,688
Баллы
2,203
Подготовьте свежий лог Farbar Recovery Scan Tool
 

demolion

Активный пользователь
Сообщения
9
Реакции
0
Баллы
171
Доброго дня, уважаемые гуру...
Предыдущую тему
из-за отсутствия ответов закрыли, но проблема все еще осталась. Хозяин компьютера лежал в больнице, поэтому доступа к нему не было. Сейчас хотелось бы возобновить лечение...
Проблема - та же: при работе в браузере периодически открываются различные сайты рекламной направленности. Собрал на всякий случай новые логи и по последней рекомендации сделал свежий лог Farbar Recovery Scan Tool. Очень надеюсь на Вашу помощь.
 

Вложения

  • CollectionLog-2015.11.28-14.55.zip
    81.2 KB · Просмотры: 2
  • FRST.txt
    61.9 KB · Просмотры: 4
  • Addition.txt
    45.7 KB · Просмотры: 4
  • Shortcut.txt
    92.9 KB · Просмотры: 0

Кирилл

Команда форума
Администратор
Сообщения
14,207
Реакции
6,235
Баллы
1,003
  • Объединил темы.
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,207
Реакции
6,235
Баллы
1,003
Подготовьте свежий лог adwcleaner.
Какие расширения установлены в браузерах?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,085
Реакции
6,258
Баллы
1,008
demolion, вы во франции живёте?
Сайт inet123.ru знаком? Поисковик от mail.ru и inet123.ru сами ставили?
Какие расширения установлены в браузерах?
немного дополню вопрос. Какие расширения из этих вам не знакомы (сами не ставили):
INI:
FF Extension: FlashGot - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}.xpi [2015-05-28]
FF Extension: IE Tab 2 (FF 3.6+) - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{1BC9BA34-1EED-42ca-A505-6D2F1A935BBB} [2015-05-30]
FF Extension: Gmail Manager - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{582195F5-92E7-40a0-A127-DB71295901D7}.xpi [2015-05-30]
FF Extension: RightToClick - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{cd617375-6743-4ee8-bac4-fbf10f35729e}.xpi [2015-05-30]
FF Extension: Flashblock - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a} [2015-05-30]
FF Extension: Tab Mix Plus - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{dc572301-7619-498c-a57d-39143191b318}.xpi [2015-09-02]
FF Extension: skipcerterrorfoudilfr - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\skipcerterror@foudil.fr [2015-09-25] [not signed]
FF Extension: FireFTP - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f} [2015-11-25]
FF Extension: WOT - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} [2015-11-28]
FF Extension: Element Hiding Helper for Adblock Plus - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\elemhidehelper@adblockplus.org.xpi [2015-11-27]
FF Extension: Yandex — Homepage - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\homeutil@yandex.ru.xpi [2015-09-21] [not signed]
FF Extension: Поиск@Mail.Ru - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\search@mail.ru.xpi [2015-10-27]
FF Extension: Flagfox - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b}.xpi [2015-11-19]
FF Extension: Adblock Plus - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2015-11-27]
FF Extension: Download Statusbar - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}.xpi [2015-05-30]
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
FF Extension: ESET Smart Security Extension - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird [2013-04-27] [not signed]
 

demolion

Активный пользователь
Сообщения
9
Реакции
0
Баллы
171
Живем в Украине. Не понял вопроса?

adwcleaner ничего не обнаружил.

Удалил расширения:
RightToClick
skipcerterrorfoudilfr
Поиск@Mail.Ru
Download Statusbar
Yandex — Homepage

Сайт inet123.ru - не знаком, удалил.

Проблема исчезла...
Спасибо Огромное!!!
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,085
Реакции
6,258
Баллы
1,008
  1. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    start
    CreateRestorePoint:
    HKU\S-1-5-21-1123561945-1767777339-682003330-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mail.ru/cnt/7227
    URLSearchHook: [S-1-5-21-1123561945-1767777339-682003330-500] ATTENTION => Default URLSearchHook is missing
    SearchScopes: HKLM -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
    SearchScopes: HKU\.DEFAULT -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
    SearchScopes: HKU\.DEFAULT -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
    SearchScopes: HKU\S-1-5-21-1123561945-1767777339-682003330-500 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn
    SearchScopes: HKU\S-1-5-21-1123561945-1767777339-682003330-500 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = hxxp://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-ktqk&cof=FORID%3A10&ie=utf-8&q={searchTerms}&sa=%CF%EE%E8%F1%EA&siteurl=inet123.ru%2F#881
    FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.
Подробнее читайте в этом руководстве.

+ напомню, что сборки это плохо. У вас много важных системных файлов пропатчено.
 

demolion

Активный пользователь
Сообщения
9
Реакции
0
Баллы
171
Готово...
 

Вложения

  • MICROSOF-5CE2FD_2015-12-02_22-02-51.7z
    349.1 KB · Просмотры: 1
  • Fixlog.txt
    2.5 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,085
Реакции
6,258
Баллы
1,008
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.86.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    BREG
    delall HTTP://GO.MAIL.RU/SEARCH?UTF8IN=1&FR=FFTBUFIX&Q=
    delall HTTP://GO.MAIL.RU/SEARCH?FR=NTG&Q=
    delall CHROME://MAIL.RU.TOOLBAR/CONTENT/NEWTAB.XUL
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\9ZESSEHQ.DEFAULT\SEARCHPLUGINS\INET123.XML
    bl 732B0A5D48D3C29F792DFBF317330FC0 2855
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\9ZESSEHQ.DEFAULT\SEARCHPLUGINS\INET123.XML
    delall HTTP://WWW.MAIL.RU/CNT/7227
    delall HTTP:\\WWW.MAIL.RU
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу