Реклама в браузере

@thrust · Регистрация: 22.10.2015

Author24 — интернет-сервис помощи студентам

Подцепил какую то заразу
Начала вылезать реклама в браузере, как во всплывающих окнах, так и при любых кликах на любой странице браузера. Так же любые страницы стали загружаться очень долго

@shestale · 11.01.2016, 19:44

Внимание! Рекомендации написаны специально для thrust. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('C:\Program Files (x86)\Kinoroom Browser', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFileF('C:\ProgramData\KRB Updater Utility', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFileF('C:\Users\А\AppData\Local\SystemDir', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Users\А\AppData\Local\SystemDir\nethost.exe', '');
 QuarantineFile('C:\Windows\system32\Drivers\netfilter2.sys', '');
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Users\А\AppData\Local\SystemDir\nethost.exe', '32');
 DeleteFile('C:\Windows\system32\Drivers\netfilter2.sys', '32');
 DeleteFileMask('C:\Program Files (x86)\Kinoroom Browser', '*', true);
 DeleteFileMask('C:\ProgramData\KRB Updater Utility', '*', true);
 DeleteFileMask('C:\Users\А\AppData\Local\SystemDir', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Kinoroom Browser');
 DeleteDirectory('C:\ProgramData\KRB Updater Utility');
 DeleteDirectory('C:\Users\А\AppData\Local\SystemDir');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:
Windows Batch file
1 2 3
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!
Подготовьте лог AdwCleaner.

@thrust · 11.01.2016, 20:13 **[ТС]**

Карантин отправил

@shestale · 12.01.2016, 06:10

Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
+
Подготовьте логи Farbar Recovery Scan Tool

@thrust · 12.01.2016, 11:52 **[ТС]**

Судя по всему проблема исчезла, спасибо большое!

@shestale · 12.01.2016, 12:11

Выполните скрипт в Farbar Recovery Scan Tool

Windows Batch file

start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData:NT
AlternateDataStreams: C:\ProgramData:NT2
AlternateDataStreams: C:\Users\All Users:NT
AlternateDataStreams: C:\Users\All Users:NT2
AlternateDataStreams: C:\Users\Все пользователи:NT
AlternateDataStreams: C:\Users\Все пользователи:NT2
AlternateDataStreams: C:\ProgramData\Application Data:NT
AlternateDataStreams: C:\ProgramData\Application Data:NT2
AlternateDataStreams: C:\ProgramData\Microsoft:G9Gb3G3EzyV1u8gzkE
AlternateDataStreams: C:\ProgramData\Microsoft:QW4o5W4IAbzf0uOjY622zNaRaRZN
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2
AlternateDataStreams: C:\Users\А\Application Data:NT
AlternateDataStreams: C:\Users\А\Application Data:NT2
AlternateDataStreams: C:\Users\А\AppData\Roaming:NT
AlternateDataStreams: C:\Users\А\AppData\Roaming:NT2
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:G9Gb3G3EzyV1u8gzkE
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:QW4o5W4IAbzf0uOjY622zNaRaRZN
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2
CHR HKU\S-1-5-21-3378728550-2641025855-3861405246-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\47.0.2526.106\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\47.0.2526.106\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll => No File
EmptyTemp:
Reboot:
end

+

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@thrust · 13.01.2016, 14:51 **[ТС]**

В FRST скрипт сделал, а по ссылке SecurityCheck не переходит
Так же Adblock перестал работать

@Sandor · 13.01.2016, 15:24

Сообщение от thrust

В FRST скрипт сделал

Покажите отчет (Fixlog.txt)

Сообщение от thrust

Adblock перестал работать

Удалить и переустановить пробовали?

@thrust · 13.01.2016, 17:32 **[ТС]**

Вот лог SecurityCheck

SecurityCheck by glax24 v.1.4.0.32 [01.11.15]
WebSite: www.safezone.cc
DateLog: 13.01.2016 20:30:29
Path starting: C:\Users\А\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: А
VersionXML: 2.27is-12.01.2016
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 18.04.2015 09:51:13
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [39 Гб] Занято: [35.2 Гб] Свободно: [3.8 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и устарел)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.17 v.7.17.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.9.5.41373 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u66-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.1.0.4880 Внимание! Скачать обновления
Adobe Flash Player 20 NPAPI v.20.0.0.267
Adobe Reader X (10.1.16) MUI v.10.1.16 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.47.0.2526.106
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.47.0.2526.106
----------------------------- [ End of Log ] ------------------------------

@thrust · 13.01.2016, 17:33 **[ТС]**

Прилагаю FixLog

@Sandor · 13.01.2016, 17:42

Сообщение от Sandor

Удалить и переустановить пробовали?

Не ответили.

@shestale · 13.01.2016, 18:53

+
Выполните рекомендации после удаления вредоносного ПО

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	12.01.2016, 06:10	4
	Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. + Подготовьте логи Farbar Recovery Scan Tool 0

@thrust 0 / 0 / 0 Регистрация: 22.10.2015 Сообщений: 45
	13.01.2016, 14:51 [ТС]	7
	В FRST скрипт сделал, а по ссылке SecurityCheck не переходит Так же Adblock перестал работать 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	13.01.2016, 15:24	8
	Сообщение от thrust В FRST скрипт сделал Покажите отчет (Fixlog.txt) Сообщение от thrust Adblock перестал работать Удалить и переустановить пробовали? 0

@thrust 0 / 0 / 0 Регистрация: 22.10.2015 Сообщений: 45
	13.01.2016, 17:32 [ТС]	9
	Вот лог SecurityCheck SecurityCheck by glax24 v.1.4.0.32 [01.11.15] WebSite: www.safezone.cc DateLog: 13.01.2016 20:30:29 Path starting: C:\Users\А\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: А VersionXML: 2.27is-12.01.2016 ___________________________________________________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 18.04.2015 09:51:13 Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [39 Гб] Занято: [35.2 Гб] Свободно: [3.8 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено (-1) Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и устарел) --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.17 v.7.17.105 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- BitTorrent v.7.9.5.41373 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u66-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.3.1.0.4880 Внимание! Скачать обновления Adobe Flash Player 20 NPAPI v.20.0.0.267 Adobe Reader X (10.1.16) MUI v.10.1.16 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Google Chrome v.47.0.2526.106 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.47.0.2526.106 ----------------------------- [ End of Log ] ------------------------------ 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	13.01.2016, 17:42	11
	Сообщение от Sandor Удалить и переустановить пробовали? Не ответили. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	13.01.2016, 18:53	12
	+ Выполните рекомендации после удаления вредоносного ПО 0