Pfhttpcontentfilter и постоянная реклама

@Gasrbek · Регистрация: 29.07.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте! Скачал архив один и мне с ним установилась всякая чушь вроде Амиго, Маил и т.д. Все это поудалял, но реклама в гугл хроме постоянно выскакивает и в диспетчере pfhttpcontentfilter еще какой то

@Sandor · 29.07.2016, 13:23

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Gasrbek. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\filter\2\cppwindowsservice.exe');
 TerminateProcessByName('c:\users\gasrbek\appdata\local\temp\dmb4favgvcqw.exe');
 TerminateProcessByName('c:\users\gasrbek\appdata\local\temp\e.exe');
 TerminateProcessByName('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe');
 StopService('CppWindowsService');
 QuarantineFileF('c:\program files (x86)\filter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\06077cf7-58e5-410f-b402-6c75fa238ad2', '*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\filter\2\cppwindowsservice.exe', '');
 QuarantineFile('c:\users\gasrbek\appdata\local\temp\dmb4favgvcqw.exe', '');
 QuarantineFile('c:\users\gasrbek\appdata\local\temp\e.exe', '');
 QuarantineFile('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe', '');
 QuarantineFile('C:\Program Files (x86)\filter\2\nfapi.dll', '');
 QuarantineFile('C:\Program Files (x86)\filter\2\ProtocolFilters.dll', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\06077CF7-58E5-410F-B402-6C75FA238AD2\0FEDA175-6277-40D5-888A-B014F2816AC8.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Users\Gasrbek\AppData\LocalLow\SearchGo\searchgo.dll', '');
 QuarantineFile('C:\Users\Gasrbek\AppData\Local\PowerMonitor\PowerMonitor.exe', '');
 QuarantineFile('C:\Users\Gasrbek\AppData\Local\SearchGo\searchgo.exe', '');
 QuarantineFile('C:\Users\Gasrbek\appdata\local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\Gasrbek\Desktop\Вoйти в Интeрнет.lnk', '');
 QuarantineFile('C:\Users\Gasrbek\Favorites\Links\Интернет.url', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A06077CF7-58E5-410F-B402-6C75FA238AD2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PowerMonitor" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\filter\2\cppwindowsservice.exe', '32');
 DeleteFile('C:\Users\Gasrbek\appdata\local\fupdate\fupdate.exe');
 DeleteFile('c:\users\gasrbek\appdata\local\temp\dmb4favgvcqw.exe', '32');
 DeleteFile('c:\users\gasrbek\appdata\local\temp\e.exe', '32');
 DeleteFile('C:\Users\Gasrbek\Desktop\Вoйти в Интeрнет.lnk', '32');
 DeleteFile('C:\Users\Gasrbek\Favorites\Links\Интернет.url', '32');
 DeleteFile('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe', '32');
 DeleteFile('C:\Program Files (x86)\filter\2\nfapi.dll', '32');
 DeleteFile('C:\Program Files (x86)\filter\2\ProtocolFilters.dll', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\06077CF7-58E5-410F-B402-6C75FA238AD2\0FEDA175-6277-40D5-888A-B014F2816AC8.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Users\Gasrbek\AppData\LocalLow\SearchGo\searchgo.dll', '32');
 DeleteFile('C:\Users\Gasrbek\AppData\Local\PowerMonitor\PowerMonitor.exe', '32');
 DeleteFile('C:\Users\Gasrbek\AppData\Local\SearchGo\searchgo.exe', '32');
 DeleteFileMask('c:\program files (x86)\filter', '*', true);
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteDirectory('c:\program files (x86)\filter');
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 DeleteDirectory('c:\programdata\krb updater utility');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wxcfjzvcsb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','geoikibgkb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','tevpqxeusl');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','06077CF7-58E5-410F-B402-6C75FA238AD2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
 DeleteService('CppWindowsService');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@Gasrbek · 29.07.2016, 13:36 **[ТС]**

[ссылка] это файл карантин, он просто 64 мб весит и сюда нельзя прикрепить

@Sandor · 29.07.2016, 14:03

П.4 еще жду

@Gasrbek · 29.07.2016, 14:14 **[ТС]**

извините, не заметил п.4

@Sandor · 29.07.2016, 14:27

1.

Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки и отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Gasrbek · 29.07.2016, 14:43 **[ТС]**

111 это из farbar

@Sandor · 29.07.2016, 14:48

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
2016-07-29 12:37 - 2016-07-29 12:37 - 00000000 ____D C:\Users\Gasrbek\AppData\Local\Вoйти в Интeрнет
2016-07-29 12:33 - 2016-07-29 12:33 - 00000000 ____D C:\Users\Gasrbek\AppData\Local\Поиcк в Интeрнете
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Проверьте запускаются ли Ваши игры. Сообщите что с первоначальной проблемой.

@Gasrbek · 29.07.2016, 14:58 **[ТС]**

Да вроде вся реклама ушла, но у меня вот только вместо поиска в гугле переадресация идет на рамблер постоянно, т.е. я в адресной строке в хроме что-то если пишу, то открывается на секунду гугл и переадресовывает дальше на рамблер. В хроме система поиска по умолчанию гугл стоит.

@Gasrbek · 29.07.2016, 15:00 **[ТС]**

И еще в ютубе реклама все равно появляется

@Sandor · 29.07.2016, 15:03

В Хроме отключите все расширения во всех профилях и проверьте. Если пропадет, включайте по одному пока не найдете виновника. Название сообщите.

@Gasrbek · 29.07.2016, 15:10 **[ТС]**

Вроде в браузере всё прошло. Но в одной из игр не открывается нормально меню( там всякие "баннеры" с изменениями в игре, о новом персонаже и т.д.) Попробую переустановить полностью и отпишусь. Спасибо!
P.S. это расширение Steam Help Trader было

@Gasrbek · 29.07.2016, 15:18 **[ТС]**

Всё же не помогла переустановка. Видите вот там несколько "баннеров" типа patch notes и т.д. Они были равномерно так распределены по окну лаунчера игры. Сейчас вот так вот отображается и то только patch notes видно. А в меню вот как в lol2 скриншоте отображается, там тоже были баннеры. И вот сейчас опять открываются в хроме реклама вулкан ставок и т.д.

@Sandor · 29.07.2016, 15:20

Сообщение от Gasrbek

в одной из игр не открывается нормально меню

Восстановите ошибочно удаленные:

***** [ Папки ] *****
[-] Папка Удалено : C:\Program Files (x86)\QGNA

Удалите старые и соберите новые логи FRST.

@Gasrbek · 29.07.2016, 15:30 **[ТС]**

вот новые логи, но в игре ситуация всё та же

@Sandor · 29.07.2016, 15:38

Сообщение от Sandor

FRST.txt, Addition.txt, Shortcut.txt

Я говорил про эти логи ))

@Gasrbek · 29.07.2016, 15:44 **[ТС]**

извиняюсь)) не сразу понял. Да, кстати, я вот сейчас открыл IE и у меня в гугл хроме сразу открылась реклама вулкан ставок и еще какой то сайт. Прям в ту же секунду как IE открыл

@Sandor · 29.07.2016, 20:15

SoftEther VPN Client - ставили самостоятельно?

Подготовьте новый CollectionLog. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	29.07.2016, 14:03	4
	П.4 еще жду 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	29.07.2016, 14:27	6
	1. Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки и отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	29.07.2016, 14:48	8
	Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool. Cкопируйте в него текст из окна "winbatch" ниже и сохраните. Windows Batch file start CreateRestorePoint: 2016-07-29 12:37 - 2016-07-29 12:37 - 00000000 ____D C:\Users\Gasrbek\AppData\Local\Вoйти в Интeрнет 2016-07-29 12:33 - 2016-07-29 12:33 - 00000000 ____D C:\Users\Gasrbek\AppData\Local\Поиcк в Интeрнете EmptyTemp: Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Проверьте запускаются ли Ваши игры. Сообщите что с первоначальной проблемой. 0

@Gasrbek 0 / 0 / 0 Регистрация: 29.07.2016 Сообщений: 10
	29.07.2016, 15:00 [ТС]	10
	И еще в ютубе реклама все равно появляется 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	29.07.2016, 15:03	11
	В Хроме отключите все расширения во всех профилях и проверьте. Если пропадет, включайте по одному пока не найдете виновника. Название сообщите. 0

@Gasrbek 0 / 0 / 0 Регистрация: 29.07.2016 Сообщений: 10
	29.07.2016, 15:10 [ТС]	12
	Вроде в браузере всё прошло. Но в одной из игр не открывается нормально меню( там всякие "баннеры" с изменениями в игре, о новом персонаже и т.д.) Попробую переустановить полностью и отпишусь. Спасибо! P.S. это расширение Steam Help Trader было 0

@Gasrbek 0 / 0 / 0 Регистрация: 29.07.2016 Сообщений: 10
	29.07.2016, 15:18 [ТС]	13
	Всё же не помогла переустановка. Видите вот там несколько "баннеров" типа patch notes и т.д. Они были равномерно так распределены по окну лаунчера игры. Сейчас вот так вот отображается и то только patch notes видно. А в меню вот как в lol2 скриншоте отображается, там тоже были баннеры. И вот сейчас опять открываются в хроме реклама вулкан ставок и т.д. Миниатюры 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	29.07.2016, 15:20	14
	Сообщение от Gasrbek в одной из игр не открывается нормально меню Восстановите ошибочно удаленные: *** [ Папки ] *** [-] Папка Удалено : C:\Program Files (x86)\QGNA Удалите старые и соберите новые логи FRST. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	29.07.2016, 15:38	16
	Сообщение от Sandor FRST.txt, Addition.txt, Shortcut.txt Я говорил про эти логи )) 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	29.07.2016, 20:15	18
	SoftEther VPN Client - ставили самостоятельно? Подготовьте новый CollectionLog. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 0

Опции темы