• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Реклама в браузере

Статус
В этой теме нельзя размещать новые ответы.

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,146
Реакции
5,920
Баллы
718
Здравствуйте!

Появляется реклама в браузере Chrome.
При выборе пункта в поисковике Google появляется дополнительная вкладка.
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,121
Реакции
13,632
Баллы
2,203
Ваше: VkontakteDJ?

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
>>>  "C:\Users\Public\Desktop\Left 4 Dead.lnk"     -> ["F:\Games\Left 4 Dead\Launcher.exe"]
>>>  "C:\Users\User\Desktop\МАНУАЛ ПАУН\Учебник Pro-Pawn.ru.lnk"       -> ["E:\ProPawnManuals\ProPawnManuals.exe"]
>>>  "C:\Users\User\Desktop\TotalCommanderPortable.lnk"      -> ["C:\Users\User\Downloads\rsload.net.Total.Commander\rsload.net.Total.Commander\port\TotalCommanderPortable.exe"]
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Local\Pbrowserupd\Pbrowserupd.exe','');
 DeleteFile('C:\Users\User\AppData\Local\Pbrowserupd\Pbrowserupd.exe','64');
 DeleteSchedulerTask('Pbrowserupd');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,146
Реакции
5,920
Баллы
718

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,428
Реакции
6,007
Баллы
1,008
А что это за файл с таким странным именем?
Код:
C:\Windows\OldNewExplorer32.dll
>>В папке Adwcleaner уже были отчёты от прошлых исправлений. Отправляю все.
Вижу уже успели там всё удалить.

Ещё вручную из Хрома удали рассширения
Код:
Extension fppjhfcgnalgfiimdflmikpifodndljf 0 Домашняя страница Mail.Ru 12.0.43
Extension gbnhehnpnbiioheicppmmmjaekcdfigc 0 Поиск Mail.Ru 12.0.42
Extension ikpcpgklmefncbfgbdifkaphbaapgafh 0 Пульс 4.2.6
Extension nladljmabboanhihfkjacnnkgjhnokhj 2 Adaware Secure Search 1.3.10.4
после этого проверь проблему.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,146
Реакции
5,920
Баллы
718
Первые три расширения удалил.
Extension nladljmabboanhihfkjacnnkgjhnokhj 2 Adaware Secure Search 1.3.10.4
нет на вкладке "Расширения".

Есть только:
Image to PDF - dearprint
Adblock Plus
Google Документы офлайн
Документы
Презентации
Таблицы
В той же папке:

OldNewExplorerCfg.exe
VirusTotal

OldNewExplorer64.dll
VirusTotal

OldNewExplorer32.dll
VirusTotal

Это мне не знакомо.

Проблема решена. Спасибо.
Post automatically merged:

UPD. Проблема снова вернулась.
Новая вкладка с поиском от mail.ru.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,428
Реакции
6,007
Баллы
1,008
лог uVS собери
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,428
Реакции
6,007
Баллы
1,008
1) Деинсталируй: Игровой центр.
2) выполни скрипт uVS
Код:
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FPPJHFCGNALGFIIMDFLMIKPIFODNDLJF\12.0.43_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GBNHEHNPNBIIOHEICPPMMMJAEKCDFIGC\12.0.42_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IKPCPGKLMEFNCBFGBDIFKAPHBAAPGAFH\4.2.6_0\ПУЛЬС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NLADLJMABBOANHIHFKJACNNKGJHNOKHJ\1.3.10.4_0\ADAWARE SECURE SEARCH
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFPPJHFCGNALGFIIMDFLMIKPIFODNDLJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBNHEHNPNBIIOHEICPPMMMJAEKCDFIGC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIKPCPGKLMEFNCBFGBDIFKAPHBAAPGAFH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNLADLJMABBOANHIHFKJACNNKGJHNOKHJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
apply

restart
3) Сделай свежий образ автозапуска и снова проверь проблему.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,428
Реакции
6,007
Баллы
1,008

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,146
Реакции
5,920
Баллы
718
После перезагрузки всплывающие окна больше не появлялись, но давали о себе знать всплывающие уведомления в правом нижнем углу.
Сегодня проблем замечено не было.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,428
Реакции
6,007
Баллы
1,008
1) Создай точку восстановления системы.
2) Выполни скрипт в UVS
Код:
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IKPCPGKLMEFNCBFGBDIFKAPHBAAPGAFH\4.2.6_0\ПУЛЬС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GBNHEHNPNBIIOHEICPPMMMJAEKCDFIGC\12.0.42_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NLADLJMABBOANHIHFKJACNNKGJHNOKHJ\1.3.10.4_0\ADAWARE SECURE SEARCH
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT 6.0\READER\PLUG_INS\ACCESSIBILITY.API
bl AA351C278A7F8BE3DF99791060BB3339 10751584
zoo %Sys32%\DRIVERS\MRACDRV.SYS
delall %Sys32%\DRIVERS\MRACDRV.SYS
bl 1F3D2041CDDC6F547E1811F4D93C641A 11537680
zoo %Sys32%\MRACSVC.EXE
delall %Sys32%\MRACSVC.EXE
apply

czoo
restart
3) Проблема решена?

4)
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,146
Реакции
5,920
Баллы
718
Проблема теперь устранена полностью. Ещё раз спасибо.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,428
Реакции
6,007
Баллы
1,008
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,146
Реакции
5,920
Баллы
718
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 07.01.2019 01:34:56
Path starting: C:\Users\User\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: User
VersionXML: 5.78is-03.01.2019
___________________________________________________________________________

Windows 10(6.3.17134) (x64) CoreSingleLanguage Версия: 1803 Lang: Russian(0419)
Дата установки ОС: 16.07.2018 17:08:19
Статус лицензии: Windows(R), CoreSingleLanguage edition Windows находится в режиме уведомления
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 123506 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [111.2 Гб] Занято: [74.5 Гб] Свободно: [36.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.472.17134.0
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (отключен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (отключен)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.21 v.5.21 Внимание! Скачать обновления
VMware Workstation v.15.0.2
NVIDIA GeForce Experience 3.15.0.164 v.3.15.0.164 Внимание! Скачать обновления
FileZilla Client 3.33.0 v.3.33.0 Внимание! Скачать обновления
Steam v.2.10.91.91
TeamViewer 13 v.13.2.26558 Внимание! Скачать обновления
TeamViewer 13 (TeamViewer) - Служба работает
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.41 v.7.41.101 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.2.0.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.71.0.3578.98
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.71.0.3578.98
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.1812.3-0\MsMpEng.exe v.4.18.1812.3
C:\Program Files\Windows Defender\MSASCuiL.exe v.4.13.17134.1
Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Web Companion v.4.4.1950.3825 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
----------------------------- [ End of Log ] ------------------------------
 

akok

Команда форума
Администратор
Сообщения
18,121
Реакции
13,632
Баллы
2,203
Исправьте найденное. По последнему блоку, деинсталлируйте если не используете.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,146
Реакции
5,920
Баллы
718
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Во время выполнения скрипта ошибок замечено не было, но блокнот не открылся, в папке logs нет отчёта.
В консоли AVZ только это сообщение:
Поиск критических уязвимостей
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,428
Реакции
6,007
Баллы
1,008
>>Во время выполнения скрипта ошибок замечено не было, но блокнот не открылся, в папке logs нет отчёта.
Последние несколько лет если он не находит уязвимостей, то лог не создаётся.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу