1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Рекламные страницы в google chrome + сторонние программы

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Ironvar, 9 янв 2017.

Метки:
  1. Ironvar

    Ironvar Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    Добрый день!

    Пожалуйста, помогите разобраться с возникшими проблемами:
    1. В google chrome периодически открываются рекламные вкладки.
    2. Произошла установка настроек от mail.ru: поменялась стартовая страница в google chrome на поиск mail.ru, на рабочем столе появился ярлык "Поиск в интернете" (удален вручную)
    3. В меню пуск в области "закрепленных программ" появился ярлык с адресом C:\Windows\explorer.exe "[Malicious site] utm_content=adbf052057e305ed7ecce74202676864&utm_term=C27321276F9BB751DC0C75686349C079&utm_d=20161230".
    4. В установленных программах появились следующие: urlopener (C:\Users\***\AppData\Roaming\urlopener) и PBot (C:\Users\***\AppData\Roaming\PBot)

    Ниже ссылка на результат сканирования, согласно инструкции оформления тем:
    CollectionLog-2017.01.09-16.26.zip

    Прикрепить логи к посту не удается из-за ошибки "При загрузке файла возникла проблема.". :(

    Заранее спасибо за ответы и удачи!
     
    Последнее редактирование модератором: 9 янв 2017
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.058
    Симпатии:
    4.822
    Выложите файл здесь. Ссылка на ваш файл блокируется антивирусом и защитой браузера.
    Scan report for http://meson.rghost.ru/download/7X47xHP5k/5820f068bcaeadc63f1f469835b6e0b8c9246f1b/CollectionLog-2017.01.09-16.26.zip at 2017-01-09 14:17:59 UTC - VirusTotal
    Это какой-то косяк этого форума.
    Подождите немного, пока разберутся.
     
    Последнее редактирование: 9 янв 2017
    Ironvar нравится это.
  4. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.134
    Симпатии:
    5.536
    Здравствуйте.

    Настройки Прокси-сервера в настройках IE сами прописали ?:
    Код (Text):

    https://hcas1.forum.local
    ManualProxies = 1pmc-inet.pmc.local:3128
    ProxyServer = pmc-inet.pmc.local:3128
    1) Удалите программы через "Настройки" - "Программы и компоненты":
    Код (Text):

    PBot [2016/12/30 12:06:12]-->C:\Users\***\AppData\Roaming\PBot\uninstall.exe
    urlopener [2016/12/30 12:06:49]-->C:\Users\***\AppData\Roaming\urlopener\uninstall.exe
     
    2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
    Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
    Выполните скрипт в AVZ:
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    TerminateProcessByName('c:\users\***\appdata\local\scriptwriter\scriptwriter.exe');
    TerminateProcessByName('C:\Users\***\AppData\Roaming\PBot\python\pythonw.exe');
     QuarantineFile('C:\Users\***\AppData\Roaming\PBot\launchall.py','');
     QuarantineFile('C:\Users\***\AppData\Roaming\MinesweeperApp2\mineApplication2.exe','');
     QuarantineFile('c:\users\***\appdata\local\scriptwriter\scriptwriter.exe','');
     QuarantineFileF('C:\Users\***\AppData\Roaming\PBot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\***\AppData\Roaming\MinesweeperApp2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('C:\Users\***\AppData\Roaming\urlopener', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\***\appdata\local\scriptwriter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     ExecuteFile('schtasks.exe', '/delete /TN "ScriptWriter" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "urlopener" /F', 0, 15000, true);
     DeleteFile('c:\users\***\appdata\local\scriptwriter\scriptwriter.exe','32');
     DeleteFile('C:\Users\***\AppData\Roaming\PBot\launchall.py','32');
     DeleteFile('C:\Users\***\AppData\Roaming\MinesweeperApp2\mineApplication2.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mineApplication');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tncdbfxzls');
     DeleteFileMask('C:\Users\***\AppData\Roaming\PBot','*', true);
     DeleteFileMask('C:\Users\***\AppData\Roaming\MinesweeperApp2','*', true);
     DeleteFileMask('c:\users\***\appdata\local\scriptwriter','*', true);
     DeleteFileMask('C:\Users\***\AppData\Roaming\urlopener','*', true);
     DeleteDirectory('C:\Users\***\AppData\Roaming\PBot');
     DeleteDirectory('C:\Users\***\AppData\Roaming\MinesweeperApp2');
     DeleteDirectory('c:\users\***\appdata\local\scriptwriter');
     DeleteDirectory('C:\Users\***\AppData\Roaming\urlopener');
     ExecuteSysClean;
     ExecuteWizard('SCU',2,3,true);
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     RebootWindows(true);
    end.
     
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

    3) Подготовьте и приложите к следующему сообщению новый CollectionLog, повторно запустив Autologger.exe.

    4) Подготовьте и приложите к следующему сообщению лог AdwCleaner (http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/). Найденные утилитой объекты самостоятельно не удаляйте.

    5) Перетащите файл C:\Users\***\Desktop\321\AutoLogger\CheckBrowserLnk\CheckBrowserLnk.log на утилиту ClearLNK.
    [​IMG]
    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
     
    Ironvar нравится это.
  5. Ironvar

    Ironvar Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    Добрый день!

    shestale, ниже ссылка на скачивание файлов. К сожалению, так же ошибка, не могу прикреплять файлы.

    Kиpилл:

    настройки прокси верные
    1) удалил через "Настройки" - "Программы и компоненты" указанные программы;
    2) выполнил указанный скрипт AVZ, но с включенным антивирусом, к сожалению поздно заметил, сделал перезагрузку. И повторно запустил скрипт, но уже с выключенным антивирусом. В итоге файл quarantine.zip оказался пустым :( Не отсылаю его Вам на анализ;
    3) подготовил новый CollectionLog и выгрузил на внешний ресурс, ссылка ниже;
    4) подготовил лог AdwCleaner и выгрузил на внешний ресурс, ссылка ниже. Самостоятельно ничего не удалял;
    5) подготовил файл ClearLNK и выгрузил на внешний ресурс, ссылка ниже.

    Ссылка на скачивание файлов, проверил на VirusTotal(Scan report for http://dropmefiles.com/UJaq0 at 2017-01-10 11:01:23 UTC - VirusTotal):

    DropMeFiles – free one-click file sharing service

    Всем отвечающим большая благодарность и удачи!
     
  6. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.134
    Симпатии:
    5.536
    1) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
    Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
    Выполните скрипт в AVZ:
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     RegKeyParamDel('HKEY_USERS','S-1-5-21-754687995-1579746219-2587340142-1941\Software\Microsoft\Windows\CurrentVersion\Run','tncdbfxzls');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RebootWindows(true);
    end.
     
    После выполнения скрипта компьютер перезагрузится.

    2) Перетащите файл C:\Users\***\Desktop\antivir\AutoLogger\CheckBrowserLnk\CheckBrowserLnk.log на утилиту ClearLNK.
    [​IMG]
    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

    3)
    • Запустите повторно AdwCleaner (by Malwarebytes) через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
    Если пользователям Администратор, ZhukovSI нужны Mail.RU и rambler, то по окончанию сканирования оставьте галочки только на следующих строках:
    Код (Text):

    C:\Users\ZhukovSI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk ( url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008" )
    C:\Users\oreshnikovvy\AppData\Roaming\zona
     
    Если не нужны, то поставьте все галочки.
    • Нажмите кнопку "Clean" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
    Подробнее читайте в этом руководстве.

    4) Скачайте FRST (для вашей системы 64-Bit файл) и сохраните на Рабочем столе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Отметьте галочками Shortcut.tx", Addition.txt
    • Нажмите кнопку Scan.
    • После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Пожалуйста, прикрепите все отчеты в следующем сообщении. (Если не помещаются - упакуйте в один архив).
    • Подробнее читайте в http://safezone.cc/threads/kak-podgotovit-log-farbar-recovery-scan-tool.17759/
     
    Ironvar нравится это.
  7. Ironvar

    Ironvar Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    Добрый день!

    Нашел решение почему не загружались файлы. Не получается через firefox 50, через internet explorer 11 удается прикрепить файлы к сообщению.

    Kиpилл, запрошенные логи во вложении.

    Всем отвечающим большая благодарность и удачи!
     

    Вложения:

  8. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.058
    Симпатии:
    4.822
    1) За последний месяц в Chrome были установлены следующие расширения:
    Код (Text):

    CHR Extension: (Chrome Web Store Payments) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-10]
    CHR Extension: (Chrome Media Router) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-12-08]
    CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-12-08]
     
    если вы не сами установили их, то скопируйте эти строки в основной скрипт выше строки Reboot: .

    2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):

    start
    CreateRestorePoint:
    Task: {F76356E9-6674-4D94-94B0-E7097B9A2D13} - \PowerMonitor -> No File <==== ATTENTION
    HKLM-x32\...\Run: [] => [X]
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    C:\Users\OreshnikovVY\AppData\Local\Temp\jre-8u66-windows-au.exe
    C:\Users\OreshnikovVY\AppData\Local\Temp\jre-8u71-windows-au.exe
    C:\Users\OreshnikovVY\AppData\Local\Temp\jre-8u77-windows-au.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\8CncWLusfJ2h.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\B7OhnsNflhDO.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\cHVCMlkT19u5.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\DAeABavbI9Gk.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\dHFldyy3QnqJ.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\f68ZESDsmeVz.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\gXwczhaKGVta.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\HyVK2mtFXqgD.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\iPhimA7kwrLD.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\KA4NkTFJUUGa.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\KbVfEfjLx7Qh.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\MjdMKBIkoOb7.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\n1gZQxoQBeuI.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\O7i4gEnfwwoi.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\P4AjGA83XU5V.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\sUZoVPQIMTSq.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\uql5PZFJwH68.exe
    C:\Users\ZhukovSI\AppData\Local\Temp\WHp1ZPmQZb8O.exe
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    GroupPolicyScripts: Restriction <======= ATTENTION

    Reboot:
    end
     
    и сохраните как fixlist.txt в папку с FRST64.exe. При сохранении выберите кодировку Юникод.
    Отключите до перезагрузки антивирус, запустите FRST (через контекстное меню Проводника - "Запуск имени Администратора"), нажмите Fix и подождите. Программа создаст лог-файл Fixlog.txt. Прикрепите его следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    3) Сообщите о наличии проблем.
     
    Ironvar и Кирилл нравится это.
  9. Ironvar

    Ironvar Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    Добрый день!

    shestale, запрошенные логи во вложении.

    После перезагрузки проблем не было обнаружено. Понаблюдаю за компьютером дополнительно до обеда завтрашнего дня и отпишусь.

    Всем отвечающим большая благодарность и удачи!
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      5,6 КБ
      Просмотров:
      2
  10. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.058
    Симпатии:
    4.822
    Пожалуйста, заархивируйте папку C:\FRST\Quarantine, установив пароль virus, и полученный архив отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @ ).
    В тексте письма укажите ссылку на данную тему и пароль - virus .
     
    Ironvar нравится это.
  11. Ironvar

    Ironvar Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    Добрый день!

    shestale, отправил запрошенные данные на указанную почту.

    Всем отвечающим большая благодарность и удачи!
     
  12. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.058
    Симпатии:
    4.822
    Спасибо. Карантин пришел.
     
Загрузка...
Похожие темы - Рекламные страницы google
  1. AlexLim
    Ответов:
    14
    Просмотров:
    509
  2. Ironvar
    Ответов:
    7
    Просмотров:
    483
  3. Ironvar
    Ответов:
    3
    Просмотров:
    567
  4. hechraid
    Ответов:
    15
    Просмотров:
    807
  5. Gizzmo
    Ответов:
    10
    Просмотров:
    577
  6. Joker407
    Ответов:
    1
    Просмотров:
    505

Поделиться этой страницей