• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена выскоки и всплывающая реклама во всех вкладах браузера

Статус
В этой теме нельзя размещать новые ответы.

luchanov

Пользователь
Сообщения
9
Реакции
4
Баллы
43
Здраствуйте! Очень аккуратно всегда ставлю программы, и не ставлю лишние галочки!
Где-то прозевал. Теперь как итог: при запуске компьютера - 1 делом браузер с рекламой,
при работе в браузере каждые полчаса новое окно с рекламой. Также появились ярлыки амиго, однокласники, мейл ру и другие. Последней каплей стало - блокировка поисковика google что сайт заражен, и если проигнорировать - выкидывает на мейл.ру. Мейл.ру поисковик даже близко не может обработать поисковую фразу!! Куда уж этим почтальонам!..
Вобщем итог - вся семья на нервах,.. комп под угрозой, и большая тучка в картире... (((

Лог C:\AdwCleaner прилагаю. Система: Windows 8.1 / 64bit
Ссылка на лог.

Благодарю всех за участие в помощи!
Приятных вам выходных!
 

luchanov

Пользователь
Сообщения
9
Реакции
4
Баллы
43
Ау.. неужели тяжелый случай?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
ProxyServer = 42.118.216.219:3128 - Въетнамский прокси сами прописали?
Если сами, тогда из скрипта ниже уберите эту строку:
Код:
ExecuteRepair(22);
+
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\youtube adblock', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\ubar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\aleksandr\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\aleksandr\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\aleksandr\appdata\local\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\aleksandr\appdata\local\svshost', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\youtube adblock\ieef\5zgyoos2.exe', '');
 QuarantineFile('C:\Program Files\UBar\ubar.exe', '');
 QuarantineFile('C:\Program Files\UBar\UbarService.exe', '');
 QuarantineFile('C:\Program Files (x86)\Youtube AdBlock\IEEF\J2Q9dyM.dll', '');
 QuarantineFile('C:\Program Files (x86)\Youtube AdBlock\IEEF\10s50nb.DLL', '');
 QuarantineFile('C:\Users\ALEKSA~1\AppData\Local\Temp\SkypePM.exe', '');
 QuarantineFile('C:\Users\Aleksandr\AppData\LocalLow\SearchGo\searchgo.dll', '');
 QuarantineFile('C:\Program Files (x86)\Youtube AdBlock\d0ib5QY.exe', '');
 QuarantineFile('C:\Users\Aleksandr\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\Aleksandr\AppData\Local\SearchGo\searchgo.exe', '');
 QuarantineFile('C:\Users\Aleksandr\AppData\Local\svshost\svshost.exe', '');
 DeleteFile('C:\Windows\Tasks\Update Service for Youtube AdBlock.job', '64');
 DeleteFile('C:\Windows\Tasks\Update Service for Youtube AdBlock2.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Youtube AdBlock" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Youtube AdBlock2" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\youtube adblock\ieef\5zgyoos2.exe', '32');
 DeleteFile('C:\Program Files\UBar\ubar.exe', '32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe', '32');
 DeleteFile('C:\Program Files (x86)\Youtube AdBlock\IEEF\J2Q9dyM.dll', '32');
 DeleteFile('C:\Program Files (x86)\Youtube AdBlock\IEEF\10s50nb.DLL', '32');
 DeleteFile('C:\Users\ALEKSA~1\AppData\Local\Temp\SkypePM.exe', '32');
 DeleteFile('C:\Users\Aleksandr\AppData\LocalLow\SearchGo\searchgo.dll', '32');
 DeleteFile('C:\Program Files (x86)\Youtube AdBlock\d0ib5QY.exe', '32');
 DeleteFile('C:\Users\Aleksandr\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\Aleksandr\AppData\Local\SearchGo\searchgo.exe', '32');
 DeleteFile('C:\Users\Aleksandr\AppData\Local\svshost\svshost.exe', '32');
 DeleteFileMask('c:\program files (x86)\youtube adblock', '*', true);
 DeleteFileMask('c:\program files\ubar', '*', true);
 DeleteFileMask('c:\users\aleksandr\appdata\locallow\searchgo', '*', true);
 DeleteFileMask('c:\users\aleksandr\appdata\local\fupdate', '*', true);
 DeleteFileMask('c:\users\aleksandr\appdata\local\searchgo', '*', true);
 DeleteFileMask('c:\users\aleksandr\appdata\local\svshost', '*', true);
 DeleteDirectory('c:\program files (x86)\youtube adblock');
 DeleteDirectory('c:\program files\ubar');
 DeleteDirectory('c:\users\aleksandr\appdata\locallow\searchgo');
 DeleteDirectory('c:\users\aleksandr\appdata\local\fupdate');
 DeleteDirectory('c:\users\aleksandr\appdata\local\searchgo');
 DeleteDirectory('c:\users\aleksandr\appdata\local\svshost');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 DelBHO('{95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B}');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AdobeRMP');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qcmedtlwpi');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('UbarPolicyProvider');
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков.

Подготовьте свежий лог AdwCleaner.
 

luchanov

Пользователь
Сообщения
9
Реакции
4
Баллы
43
Все сделал последовательно. Прилагаю лог. После создания лога AdvCleaner предложил кнопку Очистить. Я отказался. Только забрал лог. Сделаю все по вашей инструкции.
 

Вложения

Последнее редактирование:

luchanov

Пользователь
Сообщения
9
Реакции
4
Баллы
43
Благодарю. прикрепил
 

Вложения

  • 38.8 KB Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Выполните скрипт в Farbar Recovery Scan Tool
Код:
start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124]
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (No Name) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2016-11-09]
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <not found>
OPR Extension: (No Name) - C:\Users\Aleksandr\AppData\Roaming\Opera Software\Opera Stable\Extensions\khmiehpkiedpkpifcpeplghoibfhhigo [2016-11-09]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpmgdbdchhjimcbfbbhlbchbobhjonna [2016-11-09]
2016-11-09 23:13 - 2016-11-09 23:13 - 00000000 ____D C:\Users\Aleksandr\AppData\Local\Вoйти в Интeрнет
2016-11-09 23:09 - 2016-11-09 23:09 - 00000000 ____D C:\Users\Aleksandr\AppData\Local\Поиcк в Интeрнете
EmptyTemp:
Reboot:
end
+
Почистите кэш и куки в браузерах.
+
Подготовьте новый CollectionLog.
 

luchanov

Пользователь
Сообщения
9
Реакции
4
Баллы
43
Все сделал. Может пригодится информация - при поиске в гугле - перебравает сначала на
[Malicious site]
затем на go-mail.ru/search?

Сброс настроек хрома и поисковика не дали результат.


================ Add ==================
Заглянул во вкладку Сервисы и удалил там все приложения стандартные и другие.
Около штук 10. Открыл новую вкладку - вбил слово - и поисковик заработал без редиректа в обычном режиме... Хоть на 1 проблему меньше!
 

Вложения

Последнее редактирование модератором:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753

luchanov

Пользователь
Сообщения
9
Реакции
4
Баллы
43
Наверное забыл. Запустил сейчас сканирование adwcleaner - ответ
"AdwCleaner не обнаружил вредоносных программ на вашем компьютера"
и лог прилагаю. 1 финальный и 1 предудыщий после "Удалите все найденые объекты.."
+
Проблемы какие остались, распишите пож. по пунктам.
С помощью вашей терапии - теперь не могу найти какую-то проблему. Жалобы исчерпались. Пациент здоров!
Радости нет предела! Ликую! чем можно пожертвовать вам или всем на развитие проекта/форума? Такая работа стоит благодарности!
Спасибо еще раз за полное сопровождение по удалению "плохих чар" с нашего копмпьютера!
 

Вложения

Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу