1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Всплывает казино и всякая не приличная реклама

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Lakad, 17 июн 2017.

Метки:
  1. Lakad
    Оффлайн

    Lakad Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Не удалось самому вылечить систему , ноутбук HP 15-ba523ur Y6J06EA.
    Сканировал курелтом, в безопасном режиме не получилось не запускался файл, затем avz и в конце advcleaner - ом.
    Кое что то нашлось и удалилось но выше названые окна нет.
    Как это вылечить?
     
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Lakad
    Оффлайн

    Lakad Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Прошу прощения в первом посте не удалось прикрепить файл.
     

    Вложения:

  4. VexMD
    Оффлайн

    VexMD Практикант

    Сообщения:
    783
    Симпатии:
    134
    1) Закройте все программы, Как временно выгрузить антивирусный продукт?
    Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
    Как выполнить скрипт в AVZ
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('C:\Windows\System32\Ea3Host.exe');
     SetServiceStart('Ea3Host', 4);
     StopService('Ea3Host');
     QuarantineFile('C:\Users\Lavr\AppData\Roaming\SETUPS~1\python\pythonw.exe','');
     QuarantineFile('C:\Users\Lavr\AppData\Roaming\SETUPS~1\ml.py','');
     QuarantineFile('C:\Users\Lavr\AppData\Roaming\setupsk\python\pythonw.exe','');
     QuarantineFile('C:\Users\Lavr\AppData\Roaming\setupsk\ml.py','');
     QuarantineFile('C:\Users\Lavr\AppData\Roaming\Microsoft\msi.exe','');
     QuarantineFile('C:\Users\Lavr\AppData\Local\initwin\initwin.exe','');
     QuarantineFile('C:\Users\Lavr\AppData\Local\geckof\geckof.exe','');
     QuarantineFile('C:\windows\system32\Ea3Host.exe','');
     DeleteFile('C:\Windows\System32\Ea3Host.exe','32');
     DeleteFile('C:\Users\Lavr\AppData\Local\geckof\geckof.exe','32');
     DeleteFile('C:\Users\Lavr\AppData\Local\initwin\initwin.exe','32');
     DeleteFile('C:\Users\Lavr\AppData\Roaming\Microsoft\msi.exe','32');
     DeleteFile('C:\Users\Lavr\AppData\Roaming\setupsk\ml.py','32');
     DeleteFile('C:\Users\Lavr\AppData\Roaming\setupsk\python\pythonw.exe','32');
     DeleteFile('C:\Users\Lavr\AppData\Roaming\SETUPS~1\ml.py','32');
     DeleteFile('C:\Users\Lavr\AppData\Roaming\SETUPS~1\python\pythonw.exe','32');
     DeleteFile('C:\windows\system32\Tasks\geckof','64');
     DeleteFile('C:\windows\system32\Tasks\initwin','64');
     DeleteFile('C:\windows\system32\Tasks\MSI','64');
     DeleteFile('C:\windows\system32\Tasks\setupsk','64');
     DeleteFile('C:\windows\system32\Tasks\setupsk_upd','64');
     DeleteService('Ea3Host');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     RebootWindows(true);
    end.
     
    Компьютер перезагрузится.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте на этот почтовый ящик:
    quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

    2) Скачайте и распакуйте утилиту ClearLNK ClearLNK - удаление параметров запуска у ярлыков
    Запустите утилиту и в окно утилиты вставьте:
    Код (Text):
    C:\Users\Lavr\Favorites\Links\Интернет.url
    и нажмите кнопку Лечить.
    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

    3) Подготовьте и приложите новый CollectionLog, повторно запустив Autologger.exe

    4) Подготовьте и приложите лог сканирования AdwCleaner Краткая инструкция по работе с утилитой AdwCleaner.
     
    akok нравится это.
  5. Lakad
    Оффлайн

    Lakad Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Прикрепил логи, лог avz отправил по почте.
    --- Объединённое сообщение, 18 июн 2017 ---
    Прикрепил повторный лог CollectionLog.
     

    Вложения:

    Последнее редактирование: 18 июн 2017
  6. VexMD
    Оффлайн

    VexMD Практикант

    Сообщения:
    783
    Симпатии:
    134
    1) Скачайте FRST (для вашей системы 64-Bit файл) и сохраните на Рабочем столе.
    Запустите программу двойным щелчком.
    Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Упакуйте все отчеты в один архив и приложите в следующем сообщении.
    Подробнее читайте в Как подготовить лог Farbar Recovery Scan Tool

    2) Уточните - в каких из установленных браузеров (Chrome, Opera, Farefox, EDGE) наблюдается проблема.
     
  7. Lakad
    Оффлайн

    Lakad Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    В мозиле, опера и в хроме в всплывают неприличные фото на стр. поиска гугл , далее с переходом на др. страницы всплывают казино, как заработать много ничего не делая и пр.
    В едге такого не заметил.
     

    Вложения:

    • Addition.txt
      Размер файла:
      41,1 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      218,8 КБ
      Просмотров:
      1
  8. VexMD
    Оффлайн

    VexMD Практикант

    Сообщения:
    783
    Симпатии:
    134
    1) Создайте текстовый файл fixlist.txt на рабочем столе, где расположен FRST64.exe.
    Cкопируйте в него нижеследующий текст и сохраните в кодировке Unicode:
    Код (Text):

    Start
    CreateRestorePoint:
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    BHO: YoutubeAdBlock -> {E3605470-291B-44EB-8648-745EE356599A} -> C:\Program Files (x86)\YubeAlckIE\twGqCM8.dll [2017-06-17] ()
    FF Keyword.URL: Mozilla\Firefox\Profiles\g219lcq7.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B392AA1F0-4F6E-4675-960F-C069A92805C6%7D&gp=811014
    FF Extension: (Adblocker for Youtube™) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{5C3FD6D1-9185-4195-B5E1-FAB622427F59} [2017-06-17] [not signed]
    CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Lavr\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini [2017-06-17]
    CHR HKLM-x32\...\Chrome\Extension: [gannpgaobkkhmpomoijebaigcapoeebl] - hxxps://clients2.google.com/service/update2/crx
    OPR Extension: (No Name) - C:\Users\Lavr\AppData\Roaming\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-06-17]
    OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Lavr\AppData\Roaming\Opera Software\Opera Stable\Extensions\jenggbjfjblgmpcfejchbpnpineboigk [2017-06-17]
    C:\Users\Lavr\AppData\Roaming\setupsk
    C:\Users\Lavr\AppData\Local\initwin
    C:\Users\Lavr\AppData\Local\geckof
    2017-06-17 11:29 - 2017-06-17 18:05 - 00000000 ____D C:\Program Files (x86)\YubeAlckIE
    2017-06-17 11:29 - 2017-06-17 17:11 - 00000000 ____D C:\Program Files (x86)\YubeAlckU
    2017-06-17 11:29 - 2017-06-17 11:29 - 00000000 ____D C:\Program Files (x86)\YubeAlckUn
    17-06-16 07:34 - 2017-06-16 07:34 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsign7afa5a7688edb168
    2017-06-16 06:37 - 2017-06-16 06:37 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsign4958fe3846aab043
    2017-06-16 06:36 - 2017-06-16 06:36 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsigna74f22b80fe1dcc4
    2017-06-16 06:36 - 2017-06-16 06:36 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsign8c10064a5e69b530
    2017-06-16 06:36 - 2017-06-16 06:36 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsign1e0e15cb903e57d2
    2017-06-16 06:36 - 2017-06-16 06:36 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsign1d26dc2f1525af7d
    2017-06-16 06:30 - 2017-06-16 06:30 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsignbc198c5ba1129bd3
    2017-06-16 06:30 - 2017-06-16 06:30 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsign47dfbeb0b3e7e6bb
    Task: {0F3A6DDC-A5D0-47ED-AED2-09878C8DD841} - \setupsk_upd -> No File <==== ATTENTION
    Task: {16EE8FDE-0281-4A2F-9791-34A40FBDAE98} - \MSI -> No File <==== ATTENTION
    Task: {32A844A4-23A3-4329-908E-1647EA119BC2} - \setupsk -> No File <==== ATTENTION
    Task: {403EE6B8-6CC8-4AB7-B74F-1D50FF5C073D} - \initwin -> No File <==== ATTENTION
    Task: {F6FCA0BF-0160-4B96-8128-552314A1C446} - \geckof -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    end
     
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите.
    Компьютер будет перезагружен автоматически.
    (Имейте ввиду, что из браузеров будет удалена вся история посещений и содержимое панели быстрого доступа)
    Прикрепите к следующему сообщению созданный отчет Fixlog.txt.
    Подробнее читайте в этом руководстве Как выполнить скрипт в Farbar Recovery Scan Tool

    2) Проверьте во всех браузерах наличие рекламы.

    3) У вас был установлен антивирус BullGuard и неполностью деинсталлирован (осталось много следов). Рекомендую зачистить их.
     
  9. Lakad
    Оффлайн

    Lakad Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    В опере, едге, мозиле рекламы уже нет.
    В хроме осталась.
    Может лучше его снести на какое то время?
    В реестре нашел следы BullGuard и снес.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      8 КБ
      Просмотров:
      1
  10. VexMD
    Оффлайн

    VexMD Практикант

    Сообщения:
    783
    Симпатии:
    134
    сначала попробуйте так:
    Отключите в Chrome все установленные расширения (включая стандартные и те, которыми давно пользуетесь) и перезапустите браузер.
    Если проблема пропадет, то включайте расширения по-одному, пока не найдете виновника. Название сообщите.

    В Хроме включена синхронизация с другими устройствами ?
     

Поделиться этой страницей

Поисковый запрос:

  1. geckof.exe

    ,
  2. ea3host exe