Открываются вкладки с рекламой в гугл хром

@Microrisk · Регистрация: 13.02.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте.
Где-то хватанул следующую дрянь:
Сначала на короткое время открывается чёрное окно taskeng.exe, после чего открывается самостоятельно браузер с рекламной вкладкой, вкладки открываются разные. Если браузер запущен, так же открывается окно и самостоятельно вкладка с рекламой.

@VexMD · 15.07.2017, 22:42

1) Проверьте на сервисе VirusTotal.com файл:
C:\Users\Alexey\Tracing\WPPMedia\Skype_MediaStack-6.0.8949.315-lcsmedia_vnext_release(rtbldlab)-x86fre-U.etl.bak
Пришлите ссылку на результат проверки.

2) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО Как временно выгрузить антивирусный продукт?
Выполните скрипт в AVZ (Файл - Выполнить скрипт) Как выполнить скрипт в AVZ

Код

begin
 QuarantineFile('C:\Windows\system32\Tasks\MainSd','');
 DeleteFile('C:\Windows\system32\Tasks\MainSd','64');
 ExecuteFile('schtasks.exe', '/delete /TN "MainSd" /F', 0, 15000, true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

3) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK http://safezone.cc/resources/c... lykov.102/
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

4) Подготовьте и приложите новый CollectionLog, повторно запустив Autologger.exe

5) Подготовьте и приложите лог сканирования AdwCleaner (FAQ по работе с утилитой AdwCleaner)

@Microrisk · 16.07.2017, 10:42 **[ТС]**

https://virustotal.com/ru/file... /analysis/

@VexMD · 16.07.2017, 11:24

1) Отключите синхронизацию аккаунта в Google Chrome (https://support.google.com/chr... 6691?hl=ru) и выйдите из аккаунта.

Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
Нажмите кнопку "Сканировать" ("Scan").
Затем нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера !

2) Скачайте Farbar Recovery Scan Tool (FRST.exe - 32 бит) http://www.bleepingcomputer.co... scan-tool/ и сохраните на Рабочем столе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Упакуйте эти отчеты в один архив и приложите к своему следующему сообщению.
Подробнее читайте в этом руководстве FAQ по работе с утилитой Farbar Recovery Scan Tool

@Microrisk · 16.07.2017, 17:50 **[ТС]**

Прикрепляю отчёты.

@VexMD · 16.07.2017, 18:26

1) Этот файл вам знаком C:\Users\Alexey\Desktop\4j92k5ji.exe ?

2) Создайте текстовый файл fixlist.txt в папке, где расположен FRST64.exe.
Cкопируйте в него нижеследующий текст и сохраните:

Код

Start
CreateRestorePoint:
CloseProcesses:
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [126]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [126]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144]
HKU\S-1-5-21-4110791461-864998205-790699750-1000\...\MountPoints2: L - L:\setup.exe
HKU\S-1-5-21-4110791461-864998205-790699750-1000\...\MountPoints2: {0a187a55-3782-11e5-b78b-00e052fcd3a5} - K:\setup.exe
HKU\S-1-5-21-4110791461-864998205-790699750-1000\...\MountPoints2: {72601b20-8cf5-11e6-9eda-806e6f6e6963} - L:\setup.exe
GroupPolicy: Restriction <==== ATTENTION
U3 a8b4v5p0; C:\Windows\System32\Drivers\a8b4v5p0.sys [0 ] (Advanced Micro Devices) <==== ATTENTION (zero byte File/Folder)
U3 ayhzyiuh; C:\Windows\System32\Drivers\ayhzyiuh.sys [0 ] (Advanced Micro Devices) <==== ATTENTION (zero byte File/Folder)
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите.
Компьютер будет перезагружен автоматически.
(Имейте ввиду, что из браузеров будет удалена вся история посещений и содержимое панели быстрого доступа)
Прикрепите к следующему сообщению созданный отчет Fixlog.txt.
Подробнее читайте в этом руководстве https://www.cyberforum.ru/post7151389.html

2) Сообщите, какие остаются проблемы.

@Microrisk · 16.07.2017, 19:23 **[ТС]**

1) Не знаком. Я го вообще найти не могу на рабочем столе.

@VexMD · 16.07.2017, 19:29

Не ответили:

Сообщение от VexMD

2) Сообщите, какие остаются проблемы.

@Microrisk · 16.07.2017, 19:36 **[ТС]**

Пока проблем нет. Спасибо.
Может не в тему, но: подскажите, как отключить тестовый режим в windows7?

@VexMD · 17.07.2017, 11:03

погуглите эту фразу:

Сообщение от Microrisk

отключить тестовый режим в windows

Кликните здесь для просмотра всего текста

Способ 1
Нажмите кнопку Пуск и введите cmd в поле Поиск.
В списке Программы щелкните правой кнопкой мыши файл cmd.exe и выберите команду Запуск от имени администратора.
В командной строке введите следующую команду и нажмите клавишу ВВОД:
bcdedit /set TESTSIGNING OFF
Закройте окно командной строки и перезагрузите компьютер.
Примечание. Если этот способ не помог устранить проблему, воспользуйтесь способом 2.

Способ 2
Нажмите кнопку Пуск и введите cmd в поле Поиск.
В списке Программы щелкните правой кнопкой мыши файл cmd.exe и выберите команду Запуск от имени администратора.
В командной строке введите следующие команды, нажимая после каждой из них клавишу ВВОД:
bcdedit.exe -set loadoptions ENABLE_INTEGRITY_CHECKS bcdedit.exe -set TESTSIGNING OFF
Закройте окно командной строки и перезагрузите компьютер.

Для завершения темы выполните следующие действия:

Загрузите SecurityCheck by glax24 & Severnyj http://tools.safezone.cc/glax2... yCheck.exe и сохраните утилиту на Рабочем столе.
Запустите правой кнопкой мыши от имени администратора.
Если увидите предупреждение от вашего фаерволла относительно программы SecurityCheck - не блокируйте ее работу.
После окончания сканирования в блокноте откроется лог SecurityCheck.txt.
Прикрепите файл C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

@Microrisk · 19.07.2017, 15:28 **[ТС]**

Прикрепляю.

@VexMD · 19.07.2017, 18:14

1) Выполните рекомендуемые обновления (обязательно установите хотфиксы):

Internet Explorer 11.0.9600.17914 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
HotFix KB3124000 Внимание! Скачать обновления
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
Foxit Reader v.8.2.1.6871 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Telegram Desktop version 1.0.26 v.1.0.26 Внимание! Скачать обновления
^Необязательное обновление.^
Viber v.6.8.1.16
Skype™ 7.37 v.7.37.103 Внимание! Скачать обновления
BitTorrent v.7.10.0.43917 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
Adobe AIR v.24.0.0.180 Внимание! Скачать обновления
Adobe Shockwave Player 12.2 v.12.2.5.195 Внимание! Скачать обновления
VKMusic 4 v.4.73 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

2) Деинсталлируйте использованные при лечении утилиты (при повторных заражениях скачаете заново)
а) запустите AdwCleaner, выберите в меню Файл - Деинсталлировать, подтвердите удаление, нажав кнопку: Да
б) удалите утилиты FRST.exe, AutoLogger.exe, SecurityCheck.exe и созданные этими утилитами папки C:\FRST, ...\AutoLogger, C:\SecurityCheck

3) читайте и выполняйте рекомендации - Рекомендации после удаления вредоносного ПО

@VexMD 1061 / 665 / 75 Регистрация: 15.07.2012 Сообщений: 2,273
	15.07.2017, 22:42	2
	1) Проверьте на сервисе VirusTotal.com файл: C:\Users\Alexey\Tracing\WPPMedia\Skype_MediaStack-6.0.8949.315-lcsmedia_vnext_release(rtbldlab)-x86fre-U.etl.bak Пришлите ссылку на результат проверки. 2) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО Как временно выгрузить антивирусный продукт? Выполните скрипт в AVZ (Файл - Выполнить скрипт) Как выполнить скрипт в AVZ Код begin QuarantineFile('C:\Windows\system32\Tasks\MainSd',''); DeleteFile('C:\Windows\system32\Tasks\MainSd','64'); ExecuteFile('schtasks.exe', '/delete /TN "MainSd" /F', 0, 15000, true); RebootWindows(true); end. Компьютер перезагрузится. 3) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK http://safezone.cc/resources/c... lykov.102/ Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 4) Подготовьте и приложите новый CollectionLog, повторно запустив Autologger.exe 5) Подготовьте и приложите лог сканирования AdwCleaner (FAQ по работе с утилитой AdwCleaner) 0

@VexMD 1061 / 665 / 75 Регистрация: 15.07.2012 Сообщений: 2,273
	16.07.2017, 11:24	4
	1) Отключите синхронизацию аккаунта в Google Chrome (https://support.google.com/chr... 6691?hl=ru) и выйдите из аккаунта. Запустите повторно AdwCleaner через правую кн. мыши от имени администратора. Нажмите кнопку "Сканировать" ("Scan"). Затем нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера ! 2) Скачайте Farbar Recovery Scan Tool (FRST.exe - 32 бит) http://www.bleepingcomputer.co... scan-tool/ и сохраните на Рабочем столе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Упакуйте эти отчеты в один архив и приложите к своему следующему сообщению. Подробнее читайте в этом руководстве FAQ по работе с утилитой Farbar Recovery Scan Tool 0

@VexMD 1061 / 665 / 75 Регистрация: 15.07.2012 Сообщений: 2,273
	16.07.2017, 18:26	6
	1) Этот файл вам знаком C:\Users\Alexey\Desktop\4j92k5ji.exe ? 2) Создайте текстовый файл fixlist.txt в папке, где расположен FRST64.exe. Cкопируйте в него нижеследующий текст и сохраните: Код Start CreateRestorePoint: CloseProcesses: AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [126] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [126] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144] HKU\S-1-5-21-4110791461-864998205-790699750-1000\...\MountPoints2: L - L:\setup.exe HKU\S-1-5-21-4110791461-864998205-790699750-1000\...\MountPoints2: {0a187a55-3782-11e5-b78b-00e052fcd3a5} - K:\setup.exe HKU\S-1-5-21-4110791461-864998205-790699750-1000\...\MountPoints2: {72601b20-8cf5-11e6-9eda-806e6f6e6963} - L:\setup.exe GroupPolicy: Restriction <==== ATTENTION U3 a8b4v5p0; C:\Windows\System32\Drivers\a8b4v5p0.sys [0 ] (Advanced Micro Devices) <==== ATTENTION (zero byte File/Folder) U3 ayhzyiuh; C:\Windows\System32\Drivers\ayhzyiuh.sys [0 ] (Advanced Micro Devices) <==== ATTENTION (zero byte File/Folder) EmptyTemp: Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Компьютер будет перезагружен автоматически. (Имейте ввиду, что из браузеров будет удалена вся история посещений и содержимое панели быстрого доступа) Прикрепите к следующему сообщению созданный отчет Fixlog.txt. Подробнее читайте в этом руководстве https://www.cyberforum.ru/post7151389.html 2) Сообщите, какие остаются проблемы. 0

@VexMD 1061 / 665 / 75 Регистрация: 15.07.2012 Сообщений: 2,273
	16.07.2017, 19:29	8
	Не ответили: Сообщение от VexMD 2) Сообщите, какие остаются проблемы. 0

@Microrisk 0 / 0 / 0 Регистрация: 13.02.2015 Сообщений: 90
	16.07.2017, 19:36 [ТС]	9
	Пока проблем нет. Спасибо. Может не в тему, но: подскажите, как отключить тестовый режим в windows7? 0

@VexMD 1061 / 665 / 75 Регистрация: 15.07.2012 Сообщений: 2,273
	17.07.2017, 11:03	10
	погуглите эту фразу: Сообщение от Microrisk отключить тестовый режим в windows Кликните здесь для просмотра всего текста Способ 1 Нажмите кнопку Пуск и введите cmd в поле Поиск. В списке Программы щелкните правой кнопкой мыши файл cmd.exe и выберите команду Запуск от имени администратора. В командной строке введите следующую команду и нажмите клавишу ВВОД: bcdedit /set TESTSIGNING OFF Закройте окно командной строки и перезагрузите компьютер. Примечание. Если этот способ не помог устранить проблему, воспользуйтесь способом 2. Способ 2 Нажмите кнопку Пуск и введите cmd в поле Поиск. В списке Программы щелкните правой кнопкой мыши файл cmd.exe и выберите команду Запуск от имени администратора. В командной строке введите следующие команды, нажимая после каждой из них клавишу ВВОД: bcdedit.exe -set loadoptions ENABLE_INTEGRITY_CHECKS bcdedit.exe -set TESTSIGNING OFF Закройте окно командной строки и перезагрузите компьютер. Для завершения темы выполните следующие действия: Загрузите SecurityCheck by glax24 & Severnyj http://tools.safezone.cc/glax2... yCheck.exe и сохраните утилиту на Рабочем столе. Запустите правой кнопкой мыши от имени администратора. Если увидите предупреждение от вашего фаерволла относительно программы SecurityCheck - не блокируйте ее работу. После окончания сканирования в блокноте откроется лог SecurityCheck.txt. Прикрепите файл C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению. 0

@VexMD 1061 / 665 / 75 Регистрация: 15.07.2012 Сообщений: 2,273
	19.07.2017, 18:14	12
	1) Выполните рекомендуемые обновления (обязательно установите хотфиксы): Internet Explorer 11.0.9600.17914 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Автоматическое обновление отключено HotFix KB3124000 Внимание! Скачать обновления HotFix KB3115858 Внимание! Скачать обновления HotFix KB3140735 Внимание! Скачать обновления HotFix KB3138910 Внимание! Скачать обновления HotFix KB3138962 Внимание! Скачать обновления HotFix KB3145739 Внимание! Скачать обновления HotFix KB3146963 Внимание! Скачать обновления HotFix KB3156013 Внимание! Скачать обновления HotFix KB3156016 Внимание! Скачать обновления HotFix KB3156019 Внимание! Скачать обновления HotFix KB3155178 Внимание! Скачать обновления HotFix KB3153171 Внимание! Скачать обновления HotFix KB3170455 Внимание! Скачать обновления HotFix KB3178034 Внимание! Скачать обновления HotFix KB3185911 Внимание! Скачать обновления HotFix KB3184122 Внимание! Скачать обновления HotFix KB3192391 Внимание! Скачать обновления HotFix KB3197867 Внимание! Скачать обновления HotFix KB3205394 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4019263 Внимание! Скачать обновления HotFix KB4022722 Внимание! Скачать обновления Foxit Reader v.8.2.1.6871 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ Telegram Desktop version 1.0.26 v.1.0.26 Внимание! Скачать обновления *^Необязательное обновление.^* Viber v.6.8.1.16 Skype™ 7.37 v.7.37.103 Внимание! Скачать обновления BitTorrent v.7.10.0.43917 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. Adobe AIR v.24.0.0.180 Внимание! Скачать обновления Adobe Shockwave Player 12.2 v.12.2.5.195 Внимание! Скачать обновления VKMusic 4 v.4.73 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. 2) Деинсталлируйте использованные при лечении утилиты (при повторных заражениях скачаете заново) а) запустите AdwCleaner, выберите в меню Файл - Деинсталлировать, подтвердите удаление, нажав кнопку: Да б) удалите утилиты FRST.exe, AutoLogger.exe, SecurityCheck.exe и созданные этими утилитами папки C:\FRST, ...\AutoLogger, C:\SecurityCheck 3) читайте и выполняйте рекомендации - Рекомендации после удаления вредоносного ПО 0