• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Рекламные сылки в тексте [Firefox]

Статус
В этой теме нельзя размещать новые ответы.

Maylin

Новый пользователь
Сообщения
8
Симпатии
0
#1
Здравствуйте!

В Firefox в текстах стали появляться ссылки, при наведении на ссылку всплывает окошко с рекламой. К примеру на слова как либо связанные с играми вешается ссылка ведущая на игровой портал da.zzima.com.Также заметил ссылки на онлайн банки и казино.
Пользуюсь исключительно лисой.
KIS и avz при проверке проблем не видят.

Лог приложен.
Буду признателен за помощь
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,027
Симпатии
5,639
#2
Здравствуйте.
Программы Raptr и от IObit - ваше?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater\Updater.exe', '');
 QuarantineFileF('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater', '*', true, '', 0 , 0);
 QuarantineFile('C:\ProgramData\ZBCGFcNhBIHmMl\lBOkYgPWeHNsQSu0.bat', '');
 QuarantineFileF('C:\ProgramData\ZBCGFcNhBIHmMl', '*', true, '', 0 , 0);
 QuarantineFile('C:\ProgramData\EtDDMGoHA\VRkfiZ5.bat', '');
 QuarantineFileF('C:\ProgramData\EtDDMGoHA', '*', true, '', 0 , 0);
 QuarantineFile('C:\ProgramData\qCtOGNhBUyo\HcgfWCl4.bat', '');
 QuarantineFileF('C:\ProgramData\qCtOGNhBUyo', '*', true, '', 0 , 0);
 DeleteFile('C:\ProgramData\ZBCGFcNhBIHmMl\lBOkYgPWeHNsQSu0.bat');
 DeleteFile('C:\ProgramData\EtDDMGoHA\VRkfiZ5.bat');
 DeleteFile('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater\Updater.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater', '64');
 DeleteFile('C:\ProgramData\ZBCGFcNhBIHmMl\lBOkYgPWeHNsQSu0.bat', '');
 DeleteFile('C:\ProgramData\EtDDMGoHA\VRkfiZ5.bat', '');
 DeleteFile('C:\ProgramData\qCtOGNhBUyo\HcgfWCl4.bat', '');
 DeleteFileMask('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater', '*', true);
 DeleteFileMask('C:\ProgramData\ZBCGFcNhBIHmMl', '*', true);
 DeleteFileMask('C:\ProgramData\EtDDMGoHA', '*', true);
 DeleteFileMask('C:\ProgramData\qCtOGNhBUyo', '*', true);
 DeleteDirectory('C:\Users\ANDREY\AppData\Roaming\WindowsUpdater', '');
 DeleteDirectory('C:\ProgramData\ZBCGFcNhBIHmMl', '');
 DeleteDirectory('C:\ProgramData\EtDDMGoHA', '');
 DeleteDirectory('C:\ProgramData\qCtOGNhBUyo', '');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Кирилл

Команда форума
Администратор
Сообщения
13,027
Симпатии
5,639
#4
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Софт как таковой либо удален либо сильно покоцан.
Могу почистить.

Как проблема?
 

Maylin

Новый пользователь
Сообщения
8
Симпатии
0
#5
Удалил все что было. Проблема все еще актуальна (даже на этой самой странице)
Отчет и скриншоты прикрепил.
2015-12-14_213657.png 2015-12-14_213815.png 2015-12-14_213947.png
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,027
Симпатии
5,639
#6
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Maylin

Новый пользователь
Сообщения
8
Симпатии
0
#7
Выполнил требуемые действия.
Текстовые файлы прикладываю.
 

Вложения

Maylin

Новый пользователь
Сообщения
8
Симпатии
0
#8
При открытии любой странички антивирус стал блокировать стороннюю ссылку такого вида
15.12.2015 16.43.54;Загрузка запрещенаудалено2.js;Firefox;Троянская[/URL] программа;12/15/2015 16:43:54
 
Последнее редактирование модератором:

Кирилл

Команда форума
Администратор
Сообщения
13,027
Симпатии
5,639
#9
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Task: {B4699C4A-8658-4A55-8EB5-F4F5064A49FB} - System32\Tasks\Uninstaller_SkipUac_ANDREY => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
AlternateDataStreams: C:\ProgramData\TEMP:364682BC
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\Users\Все пользователи\TEMP:364682BC
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


akamai вы сами себе установили?

. Проблема все еще актуальна (даже на этой самой странице)
Проблема только в одном браузере?
 

Maylin

Новый пользователь
Сообщения
8
Симпатии
0
#10
Да,проблемы наблюдаются только в мозиле.Сейчас полистал странички в ie вроде все нормально.В фирефокс пока без изменений (все тот же троянский url ,блокируется kis на каждой страничке)
Насчет akamai - скорее всего нет.Даже не в курсе что это за программа.
Лог прикрепил
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,027
Симпатии
5,639
#11

Maylin

Новый пользователь
Сообщения
8
Симпатии
0
#12
Все гениальное просто. Действительно шалило дополнение лисы.Как ни странно я считал его одним из модулей kis. Сам я это дополнение точно не ставил.
Так или иначе проблема решилась.
Тему можно закрыть.
Большое спасибо за помощь и затраченное время.Веселых новогодних праздников.
2015-12-15_195732.png
 

Кирилл

Команда форума
Администратор
Сообщения
13,027
Симпатии
5,639
#13
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Удалите папку C:\FRST

Давайте разберемся что за расширение?

Папку C:\Users\ANDREY\AppData\Roaming\Mozilla\Firefox\Profiles\4izdazd0.default\extensions\helper@helper
упакуйте в архив с паролем virus и выложите на файлообменник rghost.ru ,ссылку на скачивание сюда.


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

Maylin

Новый пользователь
Сообщения
8
Симпатии
0
#14
Деинсталлировал программу и удалил папку.
Расширение скинуть не могу так как отключил и удалил его ранее через браузер.В папке extensions ничего похожего на helper@helper не наблюдаю
SecurityCheck прикрепил.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,027
Симпатии
5,639
#15
Статус
В этой теме нельзя размещать новые ответы.