• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена В браузере при нажатии ПКМ открываються: новое окно и новая вкладка

Статус
В этой теме нельзя размещать новые ответы.

Silenser4ever

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
Добрый вечер. Прошу помочь с решением проблемы.
Пользуюсь браузером Mozilla firefox и последнее время, постоянно, если нажимаю ПКМ по ссылке или просто по страницы, то открывается новое окно с сайтом adcash.com(потом этот сайт меняеться на другой) и открывается новая вкладка с сайтом s.ptrk-wn.com.

Присылаю лог.
 

Вложения

Silenser4ever

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
ой извиняюсь, не ПКМ, а ЛКМ(левая клавиша мыши)... ошибся когда писал.
 

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
Пофиксите в HijackThis следующие строчки:
Код:
R3 - URLSearchHook: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
Некоторых строк может не быть.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
Используете?

*Обнови софт
*Reimage Repair
*SoftSafe

Удалите через установку и удаление программ: Optimizer Pro


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files\Katya\ScsiAccess.exe','');
 QuarantineFile('C:\PROGRA~2\Mozilla\buslyig.exe','');
 DeleteFile('C:\PROGRA~2\Mozilla\buslyig.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\fvmncmd','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    ***** [ Файлы / Папки ] *****
    
    Папка Найдено : C:\Program Files\AlterGeo
    Папка Найдено : C:\Program Files\DAEMON Tools Toolbar
    Папка Найдено : C:\ProgramData\SoftSafe
    Папка Найдено : C:\Users\Серг\AppData\LocalLow\AlterGeo
    Папка Найдено : C:\Users\Серг\AppData\LocalLow\Mail.Ru
    Файл Найдено : C:\Windows\Reimage.ini
    
    ***** [ Реестр ] *****
    
    Ключ Найдено : HKCU\Software\dt soft\daemon tools toolbar
    Ключ Найдено : HKCU\Software\Reimage
    Ключ Найдено : HKLM\SOFTWARE\Classes\DTToolbar.ToolBandObj
    Ключ Найдено : HKLM\SOFTWARE\Classes\DTToolbar.ToolBandObj.1
    Ключ Найдено : HKLM\SOFTWARE\dt soft\daemon tools toolbar
    Ключ Найдено : HKLM\SOFTWARE\microsoft\shared tools\msconfig\startupreg\Guard.Mail.ru.gui
    Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar
    Ключ Найдено : HKLM\SOFTWARE\Reimage
    (Если не используете Mail.ru,туллбар daemon tools,Reimage и SoftSafe с AlterGeo то можете удалить все найденное)

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Silenser4ever

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
1: Этим совтом не пользуюсь и давно удалил(наверно остались хвосты).
2: Архив отправил.
3: Эти программы не использую, потому галочни не снимал и очистил всё)., но при попытки прикрепить файл пишет "При загрузке файла возникла проблема". попробую след сообщением отправить.
4: Сделал повторную диагностику. Ошибка при отправки лога. Тоже попробую следующим сообщением отправить
Вот... получилось, но проблема ещё пока осталась.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
Прикрепите логи в виде ссылки на файлообменник если снова будут проблемы с загрузкой.
Что с вашей проблемой в браузере?
 

Silenser4ever

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
Ещё хочу извиниться за то что сам сразу не исправил ссылки(не подумал что кто то может по ним перейти), а просто скопировал.
Осталась.
Хотя она не вылазит на сайте вконтакте
я на вашем форуме проверяю, и вот сейчас когда пытаюсь перейти по ссылке при помощи ЛКМ открываеться окно(вконтакет сижу, там почему то окно новое не открывается, это если эта информация вам нужна)
мышкой нажал на "ответить" и вылезло окно
Ещё кое-что, текст выделенный как гиперссылка(Феолетового цвета и с двумя подчеркиваемыми линиями) при наведении на нее отображает рекламу (на различные ссайты, тока что проверил)
вот так
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
Вы из Украины?
ОАО "Укртелеком" ваш провайдер?
Настройки dns ваши?
213.179.249.131 213.179.249.132
 

Silenser4ever

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
Я из Крыма, давно был укртел, сейчас Гипернет
мой dns 10.170.1.1
 

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  QuarantineFile('C:\Program Files\Mail.Ru\Agent\magent.exe','');
 QuarantineFile('C:\Users\Серг\AppData\Roaming\Mail.Ru\Agent\magent.exe','');
 QuarantineFile('C:\Program Files\Optimizer','');
 QuarantineFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','');
 QuarantineFileF('C:\Program Files\Mail.Ru','*',true,'', 0, 0);
 QuarantineFileF('C:\Users\Серг\AppData\Roaming\Mail.Ru','*',true,'', 0, 0);
 QuarantineFileF('C:\Program Files\Optimizer','*',true,'', 0, 0);
 QuarantineFileF('C:\Program Files\Obnovi Soft','*',true,'', 0, 0);
 DeleteFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','32');
 DeleteFile('C:\Program Files\Optimizer','32');
 DeleteFile('C:\Users\Серг\AppData\Roaming\Mail.Ru\Agent\magent.exe','32');
 DeleteFile('C:\Program Files\Mail.Ru\Agent\magent.exe','32');
 DelBHO('{7558B7E5-7B26-4201-BEDB-00D5FF534523}');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Обнови Софт','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MAgent','command');
 DeleteFileMask('C:\Program Files\Mail.Ru','*',true);
 DeleteFileMask('C:\Users\Серг\AppData\Roaming\Mail.Ru','*',true);
 DeleteFileMask('C:\Program Files\Optimizer','*',true);
 DeleteFileMask('C:\Program Files\Obnovi Soft','*',true);
 DeleteDirectory('C:\Program Files\Mail.Ru');
 DeleteDirectory('C:\Users\Серг\AppData\Roaming\Mail.Ru');
 DeleteDirectory('C:\Program Files\Optimizer');
 DeleteDirectory('C:\Program Files\Obnovi Soft');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O17 - HKLM\System\CS1\Services\Tcpip\..\{2472E6BF-DF3B-41FE-9599-5C1855CCF531}: NameServer = 213.179.249.131 213.179.249.132
Если после фикса пропадет интернет,воспользуйтесь альтернативным dns .

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве


  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Можете сказать что за программа?
C:\Program Files\Katya\
 

Silenser4ever

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
Katya - имя моей сестры и наверно её папка(помню занималась созданием клипов при помощи программы ProShow(или как то так) но сейчас этой папки нет в C:\Program Files\Katya.) Данной папки или файла на своем компьютере я не вижу(среди скрытых тоже).
После выполнения скрипта проблемма изчезла(Спасибо большое). Архив отправил. Сейчас использую Malwarebytes' Anti-Malware. Как сделаю, лог пришлю.
P.S. после фикса "NameSerser" - интернет не пропадал.
Сделал проверку, присылаю лог. Adwcleaner удалил.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
Обнаруженные ключи в реестре:  6
HKCR\CLSID\{38122a36-83b2-46b8-b39a-ec72a4614a07} (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
HKCR\TypeLib\{fc39a9f4-77ff-4595-bdec-8b768c481257} (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
HKCR\Interface\{CA021789-C8CD-4676-BC40-90077A19D5CD} (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
HKCR\VideoDownloadConverter_4zInstaller.Start.1 (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
HKCR\VideoDownloadConverter_4zInstaller.Start (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{38122A36-83B2-46B8-B39A-EC72A4614A07} (PUP.Optional.MindSpark.A) -> Действие не было предпринято.



Обнаруженные папки:  7
C:\Program Files\VideoDownloadConverter_4zEI (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
C:\Program Files\VideoDownloadConverter_4zEI\Installr (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
C:\Program Files\VideoDownloadConverter_4zEI\Installr\1.bin (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
C:\Program Files\VideoDownloadConverter_4zEI\Installr\setups (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
C:\Users\Серг\AppData\LocalLow\VideoDownloadConverter_4zEI (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
C:\Users\Серг\AppData\LocalLow\VideoDownloadConverter_4zEI\Installr (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
C:\Users\Серг\AppData\LocalLow\VideoDownloadConverter_4zEI\Installr\Cache (PUP.Optional.MindSpark.A) -> Действие не было предпринято.

Обнаруженные файлы:  12
C:\Program Files\VideoDownloadConverter_4zEI\Installr\1.bin\4zEIPlug.dll (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
C:\Program Files\VideoDownloadConverter_4zEI\Installr\1.bin\4zEZSETP.dll (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
C:\Program Files\VideoDownloadConverter_4zEI\Installr\1.bin\NP4zEISb.dll (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
C:\Users\Серг\AppData\LocalLow\VideoDownloadConverter_4zEI\Installr\Cache\2A7B2A2A.exe (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
C:\Users\Серг\AppData\LocalLow\VideoDownloadConverter_4zEI\Installr\Cache\files.ini (PUP.Optional.MindSpark.A) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

+
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Silenser4ever

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
Просканировал и продиагностировал. Высылаю логи.

Спасибо огромное, компьютер стал летать почти как новенький. Чем могу отблагодарить?
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Возможно изменения вступят в силу после следующей перезагрузки компьютера.');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Обнови Софт');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Optimizer Pro');
end.

Удалите MBAM.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
Смените все пароли,в том числе от банковских клиентов.
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,521
Баллы
2,203
Выполните: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Silenser4ever

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
Да. Спасибо
Проблема решена
Архив отправил.
Программы удалил
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу