Решена Реклама в браузере google chrome

Статус
В этой теме нельзя размещать новые ответы.

FRED

Новый пользователь
Сообщения
5
Реакции
0
Здравствуйте. Нужна помощь, в браузере периодически открываются вкладки с различной рекламной.
 

Вложения

  • CollectionLog-2017.04.19-04.00.zip
    145.3 KB · Просмотры: 4
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\rising', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\application installer', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\lucifer\appdata\local\storegid', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\Rising\RSD\popwndexe.exe', '');
 QuarantineFile('C:\Program Files (x86)\Application Installer\ServerCore.exe', '');
 QuarantineFile('C:\Users\Lucifer\AppData\Local\storegid\storegid.exe', '');
 QuarantineFile('C:\Users\Lucifer\AppData\Local\storegid\storegidup.exe', '');
 QuarantineFile('C:\Users\Lucifer\AppData\Local\Microsoft\Windows\Application Shortcuts\Chrome\Яндекс.lnk', '');
 QuarantineFile('C:\Users\Lucifer\AppData\Local\Microsoft\Windows\Application Shortcuts\Chrome\Яндекс.Почта.lnk', '');
 QuarantineFile('C:\Users\Lucifer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Pirates.lnk', '');
 QuarantineFile('C:\Users\Lucifer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pirates\Pirates.lnk', '');
 DeleteFile('C:\Program Files (x86)\Rising\RSD\popwndexe.exe', '32');
 DeleteFile('C:\Program Files (x86)\Application Installer\ServerCore.exe', '32');
 DeleteFile('C:\Users\Lucifer\AppData\Local\storegid\storegid.exe', '32');
 DeleteFile('C:\Users\Lucifer\AppData\Local\storegid\storegidup.exe', '32');
 DeleteFileMask('c:\program files (x86)\rising', '*', true);
 DeleteFileMask('c:\program files (x86)\application installer', '*', true);
 DeleteFileMask('c:\users\lucifer\appdata\local\storegid', '*', true);
 DeleteDirectory('c:\program files (x86)\rising');
 DeleteDirectory('c:\program files (x86)\application installer');
 DeleteDirectory('c:\users\lucifer\appdata\local\storegid');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RSDTRAY','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ServerCore','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegidUpdater','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте лог AdwCleaner.
 
  • Like
Реакции: FRED
quarantine.zip отправил через форму, остальные отчеты прилагаю ниже.
 

Вложения

  • ClearLNK-19.04.2017_18-21.log
    4.5 KB · Просмотры: 1
  • AdwCleaner[S2].txt
    2.4 KB · Просмотры: 4
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Прикрепляю отчеты.
 

Вложения

  • AdwCleaner[C2].txt
    2.2 KB · Просмотры: 3
  • Addition.txt
    60.2 KB · Просмотры: 1
  • FRST.txt
    104.4 KB · Просмотры: 1
  • Shortcut.txt
    150.7 KB · Просмотры: 1
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1912072700-1915924358-2250763767-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-1912072700-1915924358-2250763767-1000 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF user.js: detected! => C:\Users\Lucifer\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2014-08-11]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445"
MSCONFIG\startupreg: storegid => 
MSCONFIG\startupreg: storegidUpdater => 
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.
 
  • Like
Реакции: FRED
Всё отлично, огромное спасибо!
 

Вложения

  • Fixlog.txt
    3.5 KB · Просмотры: 3
На первом "фиксе" зависло?

В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
  • Like
Реакции: FRED
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.15063.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Silverlight v.5.1.50906.0
TeamViewer 10 v.10.0.47484 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.33 v.7.33.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43580 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.4.5.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


Прочтите и выполните Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: FRED
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу