Решена Всплывающая реклама в браузере хром

Статус
В этой теме нельзя размещать новые ответы.

Yaho_O

Активный пользователь
Сообщения
27
Симпатии
1
Баллы
383
#1
Здравствуйте. У меня проблема с рекламой в браузере хром, она постоянно всплывает и мешает нормальной работе. В хроме стоит расширение адблок, но даже он ничего не блокирует. Пытался устранить причину своими силами, но тоже ничего не вышло. Очень надеюсь на вашу помощь, логи прилагаю.
 

Вложения

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#2
смотрю логи
Yaho_O, Через панель управления удалите следующее ПО:
Код:
Surfing Protection
Следующее ПО вам знакомо?
Код:
MediaGet
Unity Web Player
Unlocker 1.9.1
VKMusic 4
Из какого сундука достали Flash Player?))
Код:
Adobe Flash Player 11 ActiveX []-->C:\Windows\system32\Macromed\Flash\FlashUtil11e_ActiveX.exe -maintain activex
Adobe Flash Player 11 Plugin []-->C:\Windows\system32\Macromed\Flash\FlashUtil11e_Plugin.exe -maintain plugin
Установите свежие версии

Расширение в Google Chrome вам знакомо?
Код:
Extension hoboppgpbgclpfnjfdidokiilachfcbb 0 VkOpt 2.3.2.0
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\adobe update\keepup_svc.exe');
StopService('KeepUpSvc');
QuarantineFile('C:\Windows\system32\drivers\BDSafeBrowser.sys', '');
QuarantineFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys', '');
QuarantineFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys', '');
QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys', '');
QuarantineFile('C:\Windows\system32\DRIVERS\bd0002.sys', '');
QuarantineFile('C:\Windows\system32\DRIVERS\bd0001.sys', '');
QuarantineFile('c:\program files\adobe update\keepup_svc.exe', '');
QuarantineFileF('C:\Users\comp\AppData\Local\Hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\EHfpxvbwNlPSyR', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Users\comp\AppData\Roaming\MyDesktop', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Program Files\baidu', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Program Files\Adobe Update', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\YkcDmG', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Program Files\Manager', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFile('C:\Program Files\Adobe Update\SuperSocket.ClientEngine.Common.dll', '32');
DeleteFile('C:\Program Files\Adobe Update\SuperSocket.ClientEngine.Core.dll', '32');
DeleteFile('C:\Program Files\Adobe Update\SuperSocket.ClientEngine.Protocol.dll', '32');
DeleteFile('C:\Program Files\Adobe Update\WebSocket4Net.dll', '32');
DeleteFile('C:\Program Files\Adobe Update\keepup_svc.exe', '32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys', '32');
DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys', '32');
DeleteFile('C:\Program Files\baidu\baidus.exe', '32');
DeleteFile('C:\Users\comp\AppData\Roaming\MyDesktop\qweeeCL.exe', '32');
DeleteFile('C:\ProgramData\YkcDmG\SfOSzPbHvWKiqi0.bat', '32');
DeleteFile('C:\ProgramData\EHfpxvbwNlPSyR\AEIWev5.bat', '32');
DeleteFile('C:\Users\comp\AppData\Local\Hostinstaller\2453820565_installcube.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\Soft installer', '32');
DeleteService('BDEnhanceBoost');
DeleteService('BDMNetMon');
DeleteService('BDSafeBrowser');
DeleteService('bd0004');
DeleteService('bd0002');
DeleteService('bd0001');
DeleteService('KeepUpSvc');
DeleteFileMask('C:\Users\comp\AppData\Local\Hostinstaller', '*', true);
DeleteFileMask('C:\ProgramData\EHfpxvbwNlPSyR', '*', true);
DeleteFileMask('C:\Users\comp\AppData\Roaming\MyDesktop', '*', true);
DeleteFileMask('C:\Program Files\baidu', '*', true);
DeleteFileMask('C:\Program Files\Adobe Update', '*', true);
DeleteFileMask('C:\ProgramData\YkcDmG', '*', true);
DeleteDirectory('C:\Users\comp\AppData\Local\Hostinstaller');
DeleteDirectory('C:\ProgramData\EHfpxvbwNlPSyR');
DeleteDirectory('C:\Users\comp\AppData\Roaming\MyDesktop');
DeleteDirectory('C:\Program Files\baidu');
DeleteDirectory('C:\Program Files\Adobe Update');
DeleteDirectory('C:\ProgramData\YkcDmG');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyDesktop', 'command');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Yaho_O

Активный пользователь
Сообщения
27
Симпатии
1
Баллы
383
#3
Эту программу я даже не нашел в "Программах и компонентах" для удаления. И даже через поиск ничего не нашло.
Установил. Ноут просто не мой, поэтому даже и не посмотрел на состояние Flash Player'a.
Extension hoboppgpbgclpfnjfdidokiilachfcbb 0 VkOpt 2.3.2.0
Расширение знакомо, да.

Скрипты выполнил и отправил отчет по форме. Так-же прилагаю лог с AdwCleaner
 

Вложения

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#4
Yaho_O, Продукты компании Iobit сами устанавливали?
Yaho_O, что насчет остальных программ про которые я спрашивал?
 

Yaho_O

Активный пользователь
Сообщения
27
Симпатии
1
Баллы
383
#5
iobit нет, устанавливала девушка, по не знанию, это ее ноутбук.

Из списка того софта, смог удалить только VKmusic 4, и MediaGet через панель управления. Unity Web Player мне написало, что была удалена ранее эта программа. А Unlocker жить не мешает, но можно удалить впринципе, за ненадобностью.
 
Последнее редактирование:

Yaho_O

Активный пользователь
Сообщения
27
Симпатии
1
Баллы
383
#7
Iobit конечно ненужен, всегда смущала эта программа.

Амиго да, устанавливался как-то, но был удален мною, сравнительно давно, так что это остались просто следы пребывания.
Мне вот интересно, где так подхватывается эта зараза "baidu"?
 
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#8
Yaho_O,
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Мне вот интересно, где так подхватываетсята зараза "baidu"?
скорее всего вместе с установкой какого либо ПО.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
"C:\Users\comp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"
"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk"
"C:\Users\comp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk"
C:\Users\comp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"
"C:\Users\comp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk"
"C:\Users\comp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk"
"C:\Users\comp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk"
"C:\Users\comp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk"
"C:\Users\comp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera\Opera.lnk"
"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk"
 
Последнее редактирование:

Yaho_O

Активный пользователь
Сообщения
27
Симпатии
1
Баллы
383
#9
Не стал убирать галочки в AdwCleaner, там ничего нужного не было, почистил все, лог прилагаю.
FRST проверил, логи прикрепляю.
Лог ClearLNK прикрепляю
 

Вложения

Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#10
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-4022956781-1458176411-3797852457-1000_Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394}\InprocServer32 -> C:\Users\comp\AppData\LocalLow\Unity\WebPlayer\loader\UnityWebPluginAX.ocx 

(Unity Technologies ApS)
Task: {49214F09-0B3F-479E-8DA4-4730F3A7B92A} - System32\Tasks\MailRuUpdateTask => C:\Users\comp\AppData\Local\Mail.Ru\MailRuUpdater.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4022956781-1458176411-3797852457-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Plugin HKU\S-1-5-21-4022956781-1458176411-3797852457-1000: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\comp\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [2015-06-08] (Unity Technologies ApS)
FF Extension: top-page.ru - C:\Users\comp\AppData\Roaming\Mozilla\Firefox\Profiles\ogegwef6.default\Extensions\135794682@qertis.net.xpi [2012-02-27] [not signed]
FF Extension: No Name - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ogegwef6.default\extensions\135794682@qertis.net.xpi [not found]
FF Extension: Info Enhancer for Firefox - C:\Users\comp\AppData\Roaming\Mozilla\Firefox\Profiles\ogegwef6.default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil@infoenhancer.com [2014-12-20] [not signed]
OPR Extension: (Quick Searcher) - C:\Users\comp\AppData\Roaming\Opera Software\Opera Stable\Extensions\chhjbpecpncaggjpdakmflnfcopglcmi [2015-12-08]
2016-02-02 17:09 - 2015-12-08 20:54 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-02-02 17:09 - 2015-12-08 20:54 - 00000000 ____D C:\ProgramData\ProductData
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Сделайте повторные логи по правилам, как делали когда создавали тему.
 

Yaho_O

Активный пользователь
Сообщения
27
Симпатии
1
Баллы
383
#11
Все сделал, прилагаю логи.

На счет самой проблемы, реклама в браузере уже не мешает, она полностью исчезла. Как всегда выручаете, спасибо вам!:Thank You:
 

Вложения

Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#12
Yaho_O, лечение еще закончено рано благодарить. Где карантин который я просил отправить после выполнения первого скрипта?
И посмотрите содержимое этой папки C:\Program Files\Manager
 
Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#16
Yaho_O, выложите пожалуйста на grhost.ru И ссылку дайте мне личным сообщением.
 

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#17
Yaho_O, Посмотрите еще пожалуйста содержимое этой папки:
Код:
C:\Users\comp\AppData\Roaming\AMCPromote
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
QuarantineFileF('C:\Users\comp\AppData\Roaming\ProductData', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\Program Files\Common Files\IObit', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\IObit', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFileMask('C:\Users\comp\AppData\Roaming\ProductData', '*', true);
DeleteFileMask('C:\Program Files\Common Files\IObit', '*', true);
DeleteFileMask('C:\ProgramData\IObit', '*', true);
DeleteDirectory('C:\Users\comp\AppData\Roaming\ProductData');
DeleteDirectory('C:\Program Files\Common Files\IObit');
DeleteDirectory('C:\ProgramData\IObit');
DelCLSID('{B19ED566-D419-470b-B111-3C89040BC027}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - MSConfig..HKLM: 2015/04/30 [GameXP AccessPoint] "C:\GameXP\AccessPoint\accesspoint.exe" -silent (no file)
O4 - MSConfig..HKLM: 2015/04/30 [MailRuUpdater] C:\Users\comp\AppData\Local\Mail.Ru\MailRuUpdater.exe (no file)
O4 - MSConfig..HKLM: 2015/04/30 [amigo] C:\Users\comp\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (no file)
O4 - MSConfig..HKLM: 2015/04/30 [baidu]  (no file)
O4 - MSConfig..HKLM: 2015/12/14 [MyDesktop]  (no file)
O4 - MSConfig..HKLM: 2015/12/31 [MediaGet2] C:\Users\comp\AppData\Local\MediaGet2\mediaget.exe --minimized (no file)
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Yaho_O

Активный пользователь
Сообщения
27
Симпатии
1
Баллы
383
#18

Вложения

Chinaski

Ассоциация VN
Сообщения
2,148
Симпатии
483
Баллы
453
#19
Yaho_O, Плохого в логах больше не видно.

Удалите папку C:\FRST

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,273
Симпатии
5,864
Баллы
918
#20
Yaho_O, дополнительно, пожалуйста,

Выполните в AVZ скрипт:
Код:
begin
ExpRegKey('HKCU','Software\Microsoft\Internet Explorer\SearchURL','SearchURL.txt');
end.
Файл:

SearchURL.txt из папки с AVZ упакуйте в архив и прикрепите к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу