Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.75/4: Рейтинг темы: голосов - 4, средняя оценка - 4.75
Klech97
0 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 13
1

Рекламные вкладки в браузере и рекламные блоки на YouTube

23.05.2017, 12:59. Просмотров 633. Ответов 8
Метки нет (Все метки)

С программой установился Amigo и прочие вирусные программы. Удалил все установленные программы за тот день. Появились рекламные вставки на YouTube и самостоятельно стали открываться вкладки с рекламой.
0
Вложения
Тип файла: zip CollectionLog-2017.05.23-12.54.zip (124.5 Кб, 2 просмотров)
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
23.05.2017, 12:59
Ответы с готовыми решениями:

Рекламные блоки и открывающиеся вкладки
Добрый день! Появляются врезки рекламы на страницах Mail.ru и Vk.com. Иногда при нажатии какой-то...

Рекламные блоки в браузере
Помогите, пожалуйста, избавиться от рекламы в Гугл Хром. Блок снизу и справа.

Рекламные вкладки в браузере
Доброго времени суток! С недавнего времени - примерно месяц, стали открываться рекламные вкладки в...

Открываются рекламные вкладки в браузере
Самопроизвольно открываются вкладки в браузере с различными сайтами. Если браузер не запущен в этот...

Открываются рекламные вкладки в браузере
Здравствуйте! Вкладки вылетают в рабочем браузере, без какого либо воздействия с моей стороны....

8
VexMD
Эксперт по компьютерным сетям
914 / 629 / 65
Регистрация: 15.07.2012
Сообщений: 2,130
23.05.2017, 20:12 2
1) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО Как временно выгрузить антивирусный продукт?
Выполните скрипт в AVZ (Файл - Выполнить скрипт) Как выполнить скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\vadim\appdata\roaming\aswast\python\pythonw.exe');
 TerminateProcessByName('c:\users\vadim\appdata\local\temp\f97c.tmp.exe');
 TerminateProcessByName('c:\users\vadim\appdata\local\temp\7a8c.tmp');
 TerminateProcessByName('c:\users\vadim\appdata\local\temp\2bcf.tmp');
 QuarantineFile('C:\Windows\system32\wsaudio.dll','');
 QuarantineFile('c:\users\vadim\appdata\local\temp\f97c.tmp.exe','');
 QuarantineFile('c:\users\vadim\appdata\local\temp\7a8c.tmp','');
 QuarantineFile('c:\users\vadim\appdata\local\temp\2bcf.tmp','');
 QuarantineFile('C:\Users\Vadim\appdata\roaming\microsoft\msi.exe','');
 QuarantineFile('c:\users\vadim\appdata\roaming\aswast\python\pythonw.exe','');
 QuarantineFile('C:\Users\Vadim\appdata\local\syslog\syslog.exe','');
 QuarantineFile('C:\Users\Vadim\AppData\Roaming\aswast\ml.py','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Users\Vadim\AppData\Roaming\Browsers\exe.rehcnualtow.bat','');
 QuarantineFile('C:\Users\Vadim\AppData\Roaming\Browsers\exe.rehcnualsnigiroad.bat','');
 QuarantineFileF('c:\users\vadim\appdata\roaming\aswast', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\Vadim\appdata\local\syslog', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files (x86)\Zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 DeleteFile('c:\users\vadim\appdata\local\temp\2bcf.tmp','32');
 DeleteFile('c:\users\vadim\appdata\local\temp\7a8c.tmp','32');
 DeleteFile('c:\users\vadim\appdata\local\temp\f97c.tmp.exe','32');
 DeleteFile('C:\Users\Vadim\appdata\local\syslog\syslog.exe','32');
 DeleteFile('C:\Users\Vadim\appdata\roaming\microsoft\msi.exe','32');
 DeleteFile('c:\users\vadim\appdata\roaming\aswast\python\pythonw.exe','32');
 DeleteFile('C:\Users\Vadim\AppData\Roaming\aswast\ml.py','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Windows\System32\wsaudio.dll','32');
 DeleteFile('C:\Users\Vadim\AppData\Roaming\Browsers\exe.rehcnualtow.bat','32');
 DeleteFile('C:\Users\Vadim\AppData\Roaming\Browsers\exe.rehcnualsnigiroad.bat','32');
 ExecuteFile('schtasks.exe', '/delete /TN "syslog" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{DBD85ED7-4034-443A-BB9A-FECD428DAF6D}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "aswast" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "aswast2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "myblog10comrfvsm" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vnvmtbsebr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','xtjdzykrvv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','ygcilrlwxq');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll');
 DeleteFileMask('c:\users\vadim\appdata\roaming\aswast','*', true);
 DeleteFileMask('C:\Users\Vadim\appdata\local\syslog','*', true);
 DeleteFileMask('C:\Program Files (x86)\Zaxar','*', true);
 DeleteDirectory('c:\users\vadim\appdata\roaming\aswast');
 DeleteDirectory('C:\Users\Vadim\appdata\local\syslog');
 DeleteDirectory('C:\Program Files (x86)\Zaxar');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(true);
end.
Компьютер перезагрузится.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы.
К сообщению прикреплять файл quarantine.zip не нужно !

2) Запустите через правую кнопку мыши от имени администратора файл C:\Users\Vadim\Desktop\Новая папка\AutoLogger\HiJackThis\HiJackThis.exe
Нажмите кнопку "Scan".
После завершения сканирования отметьте следующие строки и нажмите "Fix checked"
Код
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=831105
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B651AD47E-8978-4C6A-8434-486581DD12B5%7D&gp=831106
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C} - (no name) - (no URL)
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no name) - (no URL)
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A06ED961-D98F-4CF9-A89B-80AB11DB149C} - GoSearch - http://go-search.ru/search?q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B651AD47E-8978-4C6A-8434-486581DD12B5%7D&gp=831106
O2-32 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Vadim\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll
3) Скачайте утилиту ClearLNK http://safezone.cc/resources/clearln...-jarlykov.102/
и запустите через правую кнопку мыши от имени администратора. Скопируйте в окно программы следующий текст и нажмите кнопку "Лечить":
Код
>>> [HTTP][MASK][h][s] "C:\Users\Vadim\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk"      -> ["C:\Windows\explorer.exe"  =>> "hxxp://nbabki.ru/?utm_source=startlink03&utm_content=4e5ebc4561a9e7a675a3bc892c474b2e&utm_term=0E8B0997F3CA281E6063F9D07F6C04A6&utm_d=20161101"]
>>> [HTTP][MASK][h][s] "C:\Users\Vadim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk"  -> ["C:\Windows\explorer.exe"  =>> "hxxp://nbabki.ru/?utm_source=startlink03&utm_content=4e5ebc4561a9e7a675a3bc892c474b2e&utm_term=0E8B0997F3CA281E6063F9D07F6C04A6&utm_d=20161101"]
>>> [HTTP] "C:\Users\Vadim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk"     -> ["C:\Windows\System32\rundll32.exe"  =>> url,FileProtocolHandler "hxxp://vvv.mail.ru/cnt/20775012?gp=831101"]
>>>  "C:\Users\Vadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser.lnk"     -> ["C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Origins - Return to Ostagar\Нaстрoйкa параметров.lnk"        -> ["C:\Users\Vadim\AppData\Roaming\Browsers\exe.rehcnualsnigiroad.bat"]
>>> [RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Таnks.lnk"    -> ["C:\Users\Vadim\AppData\Roaming\Browsers\exe.rehcnualtow.bat"]
>>>  "C:\Users\Vadim\Nox_share\Other\Battlefield 4.lnk"      -> ["D:\Program Files (x86)\Origin Games\Battlefield 4\BF4X86WebHelper.exe"]
>>>  "C:\Users\Vadim\Desktop\игры\Minecraft1.7.10.lnk"       -> ["C:\Users\Vadim\AppData\Roaming\.minecraft\Launcher.exe"]
>>>  "C:\Users\Vadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk"  -> ["D:\WoT\WoTLauncher.exe"]
>>>  "C:\Users\Vadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk"       -> ["D:\WoT\game_manual.url"]
>>>  "C:\Users\Vadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk"     -> ["D:\WoT\website.url"]
>>>  "C:\Users\Vadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk"    -> ["D:\WoT\wiki.url"]
>>>  "C:\Users\Vadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk"       -> ["D:\WoT\readme.url"]
>>>  "C:\Users\Vadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk"     -> ["D:\WoT\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Kaspersky Internet Security.lnk"  -> ["C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avpui.exe"]
>>>  "C:\Users\Vadim\Nox_share\Other\Minecraft1.7.10.lnk"    -> ["C:\Users\Vadim\AppData\Roaming\.minecraft\Launcher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VKSaver\Readme.lnk"   -> ["C:\ProgramData\VKSaver\readme.txt"]
>>>  "C:\Users\Vadim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Каталог с файлами конфигураций, скриншотов и логов.lnk"      -> ["C:\Users\Vadim\My documents\My Games\StarConflict"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Borland C++Builder 6\Help\Intranet ActiveX Online Help.lnk"   -> ["C:\Program Files (x86)\Borland\CBuilder6\Help\nia.hlp"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\InterBase\InterBase Server manager.lnk"   -> ["C:\Windows\system32\ibmgr.cpl"]
>>>  "C:\Users\Vadim\Desktop\прораммы\3ds Max 2016.lnk"      -> ["C:\Program Files\Autodesk\3ds Max 2016\3dsmax.exe"]
>>>  "C:\Users\Vadim\Desktop\прораммы\MotionBuilder 2016.lnk"          -> ["C:\Program Files\Autodesk\MotionBuilder 2016\bin\x64\motionbuilder.exe"]
>>>  "C:\Users\Vadim\Desktop\прораммы\Mudbox 2016.lnk"       -> ["C:\Program Files (x86)\Autodesk\Mudbox 2016\mudbox.exe"]
>>>  "C:\Users\Vadim\Favorites\Links\Интернет.url"  ->                hxxp://nbabki.ru/?utm_source=favorites03&utm_content=a688a10cf2eeecb7cfd401cf7a33119d&utm_term=0E8B0997F3CA281E6063F9D07F6C04A6&utm_d=20161101
>>>  "C:\Users\Vadim\Favorites\Mail.Ru.url"  ->                       hxxp://vvv.mail.ru/cnt/7861
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

4) Подготовьте и приложите новый CollectionLog, повторно запустив Autologger.exe Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

5) Подготовьте и приложите лог сканирования AdwCleaner (FAQ по работе с утилитой AdwCleaner)
0
Klech97
0 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 13
24.05.2017, 08:08  [ТС] 3
Карантин отправлен.
0
Вложения
Тип файла: log ClearLNK-24.05.2017_07-57.log (8.1 Кб, 2 просмотров)
Тип файла: zip CollectionLog-2017.05.24-08.03.zip (129.8 Кб, 2 просмотров)
Тип файла: txt AdwCleaner[S3].txt (9.1 Кб, 7 просмотров)
VexMD
Эксперт по компьютерным сетям
914 / 629 / 65
Регистрация: 15.07.2012
Сообщений: 2,130
24.05.2017, 09:10 4
1) C:\ProgramData\VKSaver сами установили (пользуетесь) ?

2) Запустите повторно AdwCleaner (by Malwarebytes) через правую кн. мыши от имени администратора.
Нажмите кнопку "Сканировать" ("Scan").
Нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Внимание: Для успешного удаления нужна перезагрузка компьютера !
(Имейте ввиду, что будет удален DRP (DriverPackSolution) - если необходим, то переустановите после окончания лечения).
После перезагрузки прикрепите созданный отчет C:\AdwCleaner\AdwCleaner[Cx].txt к следующему сообщению.

3) Скачайте Farbar Recovery Scan Tool (FRST64.exe) http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ и сохраните на Рабочем столе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
В окне программы отметьте Shortcut.txt
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Упакуйте эти отчеты в один архив и приложите к следующему сообщению.
Подробнее читайте в этом руководстве FAQ по работе с утилитой Farbar Recovery Scan Tool
0
24.05.2017, 09:10
Klech97
0 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 13
24.05.2017, 10:27  [ТС] 5
Да, VKSaver сам устанавливал
Архив с отчетами прикрепил
0
Вложения
Тип файла: txt AdwCleaner[C4].txt (9.3 Кб, 7 просмотров)
Тип файла: rar Otchet.rar (47.9 Кб, 2 просмотров)
VexMD
Эксперт по компьютерным сетям
914 / 629 / 65
Регистрация: 15.07.2012
Сообщений: 2,130
24.05.2017, 19:44 6
1) Создайте текстовый файл fixlist.txt на рабочем столе, где расположен FRST64.exe.
Cкопируйте в него нижеследующий текст и сохраните:
Код
Start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
CustomCLSID: HKU\S-1-5-21-1963131094-132656947-1493843746-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1963131094-132656947-1493843746-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1963131094-132656947-1493843746-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> no filepath
Task: {B7C27A1D-CF38-476E-A88B-18350B960583} - System32\Tasks\MSI => C:\Users\Vadim\AppData\Roaming\Microsoft\msi.exe 
Task: {F8DEFB14-C4F0-4131-8F7B-D0F9CAC8938F} - System32\Tasks\DRPNPS => mshta.exe "hxxp://update.*******/nps/online/bin/tools/run.hta" "17.7.50" "1495227383245" "9e82a64f-c98c-44ad-8f2c-5dd017ffd055"
FirewallRules: [{67BF4638-EF0A-4A2F-A566-C1C0F8E41D48}] => (Allow) C:\Users\Vadim\AppData\Local\Amigo\Application\amigo.exe
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: F - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {27817579-2a82-11e7-9c6b-448a5becaff3} - "E:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {326295c7-7ad2-11e4-a958-806e6f6e6963} - E:\CDSetup.exe
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {50320888-7b6f-11e4-95d3-364b50b7ef2d} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {5ef74f21-e9a8-11e4-a93a-364b50b7ef2d} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {5ef74f38-e9a8-11e4-a93a-364b50b7ef2d} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {5ef74f42-e9a8-11e4-a93a-364b50b7ef2d} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {5ef74f81-e9a8-11e4-a93a-364b50b7ef2d} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {66a656f0-25a8-11e7-9948-448a5becaff3} - "E:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {6bce536c-082a-11e5-91be-40e2300e27d6} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {81b97d65-a25e-11e4-95e3-364b50b7ef2d} - F:\AutoRun.exe
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {81b97d72-a25e-11e4-95e3-364b50b7ef2d} - F:\AutoRun.exe
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {b2442cf9-7ae1-11e4-87d0-40e2300e27d6} - G:\setup.exe
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {c008d2dc-4f02-11e5-ab9d-364b50b7ef2d} - H:\INSTALL.EXE
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {cbd66c1f-aeb8-11e4-8b33-364b50b7ef2d} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {e27e2b90-9e02-11e4-b235-40e2300e27d6} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {f406ca09-4e16-11e5-9d11-364b50b7ef2d} - G:\setup.exe
HKU\S-1-5-21-1963131094-132656947-1493843746-1000\...\MountPoints2: {faa189b8-f2cf-11e4-9fff-40e2300e27d6} - "F:\Install MegaFon Internet.exe"
FF SearchPlugin: C:\Users\Vadim\AppData\Roaming\Mozilla\Firefox\Profiles\s3qgmrh0.default\searchplugins\GoSearch-20175819.xml [2017-05-19]
FF SearchPlugin: C:\Users\Vadim\AppData\Roaming\Mozilla\Firefox\Profiles\s3qgmrh0.default\searchplugins\RuSearcher-20175819.xml [2017-05-19]
FF SearchPlugin: C:\Users\Vadim\AppData\Roaming\Mozilla\Firefox\Profiles\s3qgmrh0.default\searchplugins\@Mail.Ru-20175819.xml [2017-05-19]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B86559395-D0F1-45DE-BAF5-2F01E5125793%7D&gp=831103
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR HKU\S-1-5-21-1963131094-132656947-1493843746-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1963131094-132656947-1493843746-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
S4 wsaudio; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S4 wsaudio; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S3 Nero BackItUp Scheduler 4.0; no ImagePath
S3 EagleX64; no ImagePath
S3 hrm; no ImagePath
S3 WacHidRouter; system32\DRIVERS\wachidrouter.sys [X]
S3 wacomrouterfilter; system32\DRIVERS\wacomrouterfilter.sys [X]
2017-05-23 09:11 - 2017-05-23 09:12 - 00003166 __RSH C:\Windows\System32\Tasks\MSI
2017-05-23 09:09 - 2017-05-23 09:10 - 00878595 _____ C:\Users\Vadim\Desktop\pubg-cheat.zip
2017-05-23 12:15 - 2015-10-15 08:42 - 00000000 ____D C:\Users\Все пользователи\vScFLAMSBsCyZ
2017-05-23 12:15 - 2015-10-15 08:42 - 00000000 ____D C:\Users\Все пользователи\OJBXwXd
2017-05-23 12:15 - 2015-10-15 08:42 - 00000000 ____D C:\Users\Все пользователи\hnhcMqxFjXqGAU
2017-05-23 12:15 - 2015-10-15 08:42 - 00000000 ____D C:\ProgramData\vScFLAMSBsCyZ
2017-05-23 12:15 - 2015-10-15 08:42 - 00000000 ____D C:\ProgramData\OJBXwXd
2017-05-23 12:15 - 2015-10-15 08:42 - 00000000 ____D C:\ProgramData\hnhcMqxFjXqGAU
Folder: C:\Users\Vadim\AppData\Roaming\Browsers
Folder: C:\ProgramData\IObit
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите.
Компьютер будет перезагружен автоматически.
(Имейте ввиду, что из браузеров будет удалена вся история посещений и содержимое панели быстрого доступа !)
Прикрепите к следующему сообщению созданный отчет Fixlog.txt.
Подробнее читайте в этом руководстве http://www.cyberforum.ru/post7151389.html

2) Выполните полное сканирование в Malwarebytes Anti-malware FAQ по работе с Malwarebytes Anti-Malware v.2
Приложите лог, созданный при сканировании mbam-log-Дата_(Время).txt
0
Klech97
0 / 0 / 0
Регистрация: 09.06.2016
Сообщений: 13
25.05.2017, 19:39  [ТС] 7
Результаты сканирования
0
Вложения
Тип файла: txt mbam-log-2017-05-25(19-38-40).txt (11.9 Кб, 6 просмотров)
Тип файла: txt Fixlog.txt (17.6 Кб, 2 просмотров)
VexMD
Эксперт по компьютерным сетям
914 / 629 / 65
Регистрация: 15.07.2012
Сообщений: 2,130
25.05.2017, 22:24 8
1) Эту программу сами установили (пользуетесь) ?
Менеджер браузеров [2017/05/19 23:59:45]
если нет, то удалите через "Программы и компоненты"

2) Выполните повторное сканирование в Malwarebytes Anti-malware
Установите галочки только напротив следующих строк:
Код
PUP.Optional.YTAdBlocker, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{D42C3A49-ABAF-464B-BBCE-991C3DD395E8}, , [510938e4f3b6ae88b32a5a2c639d40c0], 
PUP.Optional.RussAd, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\Coupons Browser Update Service, , [6eecdf3db2f73df935579f5857a96799], 
PUP.Optional.CinemaPlus, HKU\S-1-5-21-1963131094-132656947-1493843746-1000\SOFTWARE\Cinema.Plus_1.2V16.07-nv-ie, , [cf8b9b81b3f60630043e0ab01be7b64a], 
PUP.Optional.Cinema, HKU\S-1-5-21-1963131094-132656947-1493843746-1000\SOFTWARE\CinemaP-1.9cV16.03-nv-ie, , [dd7db666208978bebd559f1bf909916f], 
PUP.Optional.YTAdBlocker, HKU\S-1-5-21-1963131094-132656947-1493843746-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOW RIGHTS\ELEVATIONPOLICY\{D42C3A49-ABAF-464B-BBCE-991C3DD395E8}, , [ca90be5e129759dd0cb731543cc4d42c], 
PUP.Optional.Zaxar, HKU\S-1-5-21-1963131094-132656947-1493843746-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOWREGISTRY\AUDIO\POLICYCONFIG\PROPERTYSTORE\A107BEE8_0, , [5ffbaa72199072c4ec509c5a956ddb25], 
PUP.Optional.Zaxar, HKU\S-1-5-21-1963131094-132656947-1493843746-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOWREGISTRY\AUDIO\POLICYCONFIG\PROPERTYSTORE\EBE95C19_0, , [5efc46d660491026c77524d215ed6d93], 
Adware.RuKometa, HKU\S-1-5-21-1963131094-132656947-1493843746-1000\SOFTWARE\NETBOX\Kometaup, , [4b0fad6f1a8f3006b28a7744be436e92], 
PUP.Optional.StartPage, HKU\S-1-5-21-1963131094-132656947-1493843746-1000\SOFTWARE\START PAGE, , [a4b65fbd8425f046ab55ac55a95a0bf5], 
PUP.Optional.Zaxar, HKU\S-1-5-21-1963131094-132656947-1493843746-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOWREGISTRY\AUDIO\POLICYCONFIG\PROPERTYSTORE\a107bee8_0, {0.0.0.00000000}.{08cc1ca5-731d-44d8-a1c1-81a86b19441c}|\Device\HarddiskVolume2\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe%b{00000000-0000-0000-0000-000000000000}, , [5ffbaa72199072c4ec509c5a956ddb25]
PUP.Optional.Zaxar, HKU\S-1-5-21-1963131094-132656947-1493843746-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOWREGISTRY\AUDIO\POLICYCONFIG\PROPERTYSTORE\ebe95c19_0, {0.0.0.00000000}.{918bf479-3604-41f1-84c1-5c83b9bf7eb7}|\Device\HarddiskVolume2\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe%b{00000000-0000-0000-0000-000000000000}, , [5efc46d660491026c77524d215ed6d93]
PUP.Optional.StartPage, HKU\S-1-5-21-1963131094-132656947-1493843746-1000\SOFTWARE\START PAGE|Start Page, http://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=0E8B0997F3CA281E6063F9D07F6C04A6&utm_d=20161101, , [a4b65fbd8425f046ab55ac55a95a0bf5]
PUP.Optional.Baidu, C:\Program Files (x86)\baidu, , [0c4eaa72a1085cdae2d6be7d48bbb24e], 
PUP.Optional.Amigo, C:\Windows\System32\GroupPolicy\Adm, , [7fdb5ac29712f244fc2cb587a65d49b7], 
PUP.Optional.AdvancedSystemCare, C:\Program Files (x86)\IObit\Surfing Protection\BrowerProtect\ASCPlugin_Protection.dll, , [0c4e8a928a1fa096fc8f101ee21ee11f], 
PUP.Optional.Baidu, C:\Program Files (x86)\baidu\baidu.ini, , [0c4eaa72a1085cdae2d6be7d48bbb24e], 
PUP.Optional.Baidu, C:\Program Files (x86)\baidu\unins000.exe, , [0c4eaa72a1085cdae2d6be7d48bbb24e], 
PUP.Optional.BrowserHijack.ShrtCln, C:\Program Files (x86)\Google\Chrome\chrome.bat, Хорошо: (), Плохо: (http://searchyc-ru.ru), ,[560424f82b7ec472f8580a372ad909f7]
PUP.Optional.MailRu, C:\Users\Vadim\AppData\Roaming\Mozilla\Firefox\Profiles\s3qgmrh0.default\prefs.js, Хорошо: (), Плохо: (user_pref("keyword.URL", "http://go.mail.ru/distib/ep/?product_id=%7B5BE7156E-F99C-4985-87D3-983BBA4202B8%7D&gp=831106");), ,[dc7e0319adfc2313e1f0ba6951afc040]
PUP.Optional.Amigo, C:\Windows\System32\GroupPolicy\Adm\chrome.adm, , [7fdb5ac29712f244fc2cb587a65d49b7]
нажмите кнопку "Удалить выбранное".
После завершения удаления и перезагрузки запустите MBAM, в разделе "История - Логи" программы дважды щелкните мышкой на последней по дате записи и в появившемся окне нажмите кнопку "Экспорт", сохраните отчет в текстовом файле и приложите к сообщению.
Подробности - http://www.cyberforum.ru/post6500055.html.

3) Опишите, какие остаются проблемы.
0
VexMD
Эксперт по компьютерным сетям
914 / 629 / 65
Регистрация: 15.07.2012
Сообщений: 2,130
29.05.2017, 04:29 9
Klech97,
будете продолжать лечение ?
0
29.05.2017, 04:29
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
29.05.2017, 04:29

Открываются рекламные вкладки в браузере
Здравствуйте! В общем, столкнулся с такой проблемой, как открытие рекламы в браузере. Причем...

В браузере открываются рекламные вкладки wonderlandads
Сын без спроса скачал через экзешник игру от Хатабыча. Прошу товарища Sandor помочь с очисткой...

В браузере постоянно открываются рекламные вкладки
Скачал торрент файл при нажатии на него ничего не произошло, торрент удалил, потом внезапно...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
9
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru