Решена Самопроизвольно открываются вкладки с рекламой в Firefox.

Статус
В этой теме нельзя размещать новые ответы.
Итак, сделал, хоть и ушло 3 часа на проверку. не нашел родной файл, сохранил результаты просто в текстовый.
 

Вложения

  • 14 декабря 2016.txt
    8.6 KB · Просмотры: 4
Удалите в Malwarebytes Anti-Malware эти найденные объекты:
Разделы реестра: 8
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\IESearchPlugin.MailRuBHO, , [112cc423d2c86fc74322a90731cf768a],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\IESearchPlugin.MailRuBHO.1, , [d469f6f1bddd8bab6302733ddd23827e],
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\CLASSES\IESearchPlugin.MailRuBHO, , [d469f6f1bddd8bab6302733ddd23827e],
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\CLASSES\IESearchPlugin.MailRuBHO.1, , [d469f6f1bddd8bab6302733ddd23827e],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\WOW6432NODE\IESearchPlugin.MailRuBHO, , [d469f6f1bddd8bab6302733ddd23827e],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\WOW6432NODE\IESearchPlugin.MailRuBHO.1, , [d469f6f1bddd8bab6302733ddd23827e],
PUP.Optional.AuslogicsBoostSpeed, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{7216871F-869E-437C-B9BF-2A13F2DCE63F}_is1, , [b984d611a7f310267b4b7d0534ccc43c],
PUP.Optional.Zaxar, HKU\S-1-5-21-3568367139-2977000476-3800039126-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOWREGISTRY\AUDIO\POLICYCONFIG\PROPERTYSTORE\3CFDED22_0, , [85b8c0270e8c5cda47fd1b559b687090],

Значения реестра: 1
PUP.Optional.Zaxar, HKU\S-1-5-21-3568367139-2977000476-3800039126-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOWREGISTRY\AUDIO\POLICYCONFIG\PROPERTYSTORE\3cfded22_0, {0.0.0.00000000}.{d9898507-4d08-47a9-a52a-19ca3bcc9f03}|\Device\HarddiskVolume2\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe%b{00000000-0000-0000-0000-000000000000}, , [85b8c0270e8c5cda47fd1b559b687090]

Файлы: 46
PUP.Optional.Zaxar, C:\AdwCleaner\quarantine\files\azgozpozgyboejhkynkkycxvuwbllnun\ZaxarGameBrowser.exe, , [95a834b32e6ca98df7c0bb12758b728e],
Adware.FileTour, C:\AdwCleaner\quarantine\files\azgozpozgyboejhkynkkycxvuwbllnun\ZaxarLoader.exeold, , [1b2281668f0baf87a7afbed408f8df21],
Нажмите для раскрытия...
 
Удалил и перезагрузил, и сразу же выскочил сайт знакомств...
Мжет, сможет помочь тот сайт, с которого я скачал Тор? По самой зараженной программе нельзя определить, что это?
 

Вложения

  • 14 декабря 2016 вечер.txt
    9.6 KB · Просмотры: 4
Не переживайте, скоро добъем эту гадину.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: 
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '32');
 DeleteFileMask('c:\program files (x86)\ghostery storage server', '*', true);
 DeleteDirectory('c:\program files (x86)\ghostery storage server');
 DeleteService('Ghostery Storage Server');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
+
Подготовьте свежие логи Farbar Recovery Scan Tool
 
Добрался только что до компа и сделал)
 

Вложения

  • FRST.txt
    72.9 KB · Просмотры: 1
  • Shortcut.txt
    107.3 KB · Просмотры: 0
  • Addition.txt
    39.6 KB · Просмотры: 1
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.
FRST_move.png
Cкопируйте в него текст из окна "код" ниже и сохраните.

Код: 
start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKU\S-1-5-21-3568367139-2977000476-3800039126-1000\...\Run: [AceStream] => C:\Users\Dmitriy\AppData\Roaming\ACEStream\engine\ace_engine.exe
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B487DFAC6-708E-402D-A5A5-BE2BF9F3F070%7D&gp=811041
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
2016-12-12 15:57 - 2009-07-14 06:20 - 00000000 ___HD C:\Windows\system32\GroupPolicy
2016-12-12 15:57 - 2009-07-14 06:20 - 00000000 ____D C:\Windows\SysWOW64\GroupPolicy
Task: {E2AF729C-D27D-4A13-AB8E-534B280F05F7} - System32\Tasks\InternetCFC => Firefox.exe hxxp://andria-loft.ru/florida
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 
Severnyj, программы я еще тогда же обновлял вроде, опять повторить? Плюс я бы еще сегодня потестировал, все-таки времени немного прошло, а завтра бы уже удалил все эти утилиты :) А то вдруг удалю слишком рано :)
 
Можете понаблюдать и сообщить. Проблема была в злонамеренном задании планировщика задач, а сколько там времени стояло на запуск Firefox я не знаю может 15 минут, может один раз за сессию.

Вроде многого с тех пор не обновилось. Вечером я обновлю базы SecurityCheck'a можете проверить и обновить то, что прилетело)
 
Severnyj, там частенько эти окна вылетали. Я качал что-то большое и оставил комп на день и уехал, а вечером приезжаю-там вкладок 15 успело открыться всяких казино))
 
Создал точку восстановления, удалил программы антивирусные, как было указано в инструкциях, окна больше не вылазят :) Спасибо всем огромное за помощь, особенно Severnyj и shestale :) Тему можно закрывать) Я бы пожертвовал форуму на развитие, но не могу найти реквизиты :)
 
Отлично, восстанавливаю забытый Веб-мани кошелек) Неплохо бы еще какие-нибудь иметь, Киви например)
Да, ребят, выбрали самую глюченную и замороченную системы оплаты в мире... Куча багов, кодов, паролей, кодовых слов, файлы какие-то на компе создаются, плюс прогу эту глюченую с разрывами связи надо ставить... Куча терминов и к каждому термину свой, блин, пароль... Вводишь перевести 100 р-пишет, что недостаточная сумма. В итоге в два захода лишь перевел, 20 и 80 р. Сто же упорно не хочет признавать. Комиссия за перевод средств аж в 50 рублей установлена. Заведите себе простой, интуативно понятный Киви кошелек, где в два нажатия можно перевести средства с затратой времени в одну минуту. Спасибо еще раз за помощь :)
И на Киви комиссия в 5 раз меньше-вам же больше достанется :)
Комиссия именно при вводе средств-то есть я ввел 100 р, а с меня взяли 50 р еще. С кошелька на кошелек не такая большая.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу