Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.67/6: Рейтинг темы: голосов - 6, средняя оценка - 4.67
obdolb
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 51
Завершенные тесты: 1
1

Рекламное ПО в браузере

15.07.2017, 20:52. Просмотров 1064. Ответов 14
Метки нет (Все метки)

Поудалял всё подозрительное из диспетчера приложений, почистил всё с помощью AdwCleaner и Malwarebytes, но в поиске гугла до сих пор рекламные баннеры, которые пропускают даже malware и adblock, в ютубе у видео появилась кнопка "скачать", и от malware периодически всплывают оповещения о блокировке yellowads.men и других ресурсов с нечитаемыми названиями.
лог
0
Вложения
Тип файла: zip CollectionLog-2017.07.15-20.49.zip (104.9 Кб, 1 просмотров)
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
15.07.2017, 20:52
Ответы с готовыми решениями:

Рекламное окно в браузере
Добрый день! Периодически в браузере открывается вкладка linkmyc.com, далее в ней же рекламные...

Всплывающее рекламное окно в браузере
Здравствуйте,столкнулся с такой проблемой,с недавнего времени при запуске виндовс открывается...

Изменяется стартовая страница в браузере и устанавливается рекламное ПО
Здравствуйте Описание проблемы: после перезагрузки меняется стартовая страница в браузерах на...

Нежелательное рекламное ПО
Помогите пожалуйста проверить компьютер на наличие нежелательного рекламного ПО и если оно...

Установилось рекламное ПО
28.02.2018 после 20:00 установилось рекламное ПО, лезет со всех дыр: в браузере реклама, ноутбук...

14
VexMD
Эксперт по компьютерным сетям
914 / 629 / 65
Регистрация: 15.07.2012
Сообщений: 2,130
15.07.2017, 22:15 2
1) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО Как временно выгрузить антивирусный продукт?
Выполните скрипт в AVZ (Файл - Выполнить скрипт) Как выполнить скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\user\appdata\local\yc\application\yc.exe');
 TerminateProcessByName('C:\Windows\System32\AppFrameHost.exe');
 SetServiceStart('AppFrameHost', 4);
 StopService('AppFrameHost');
 QuarantineFile('C:\Users\user\appdata\roaming\system\libs\svchost.exe','');
 QuarantineFile('C:\WINDOWS\microsoft\svchost.exe.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\yc\Application\yc.exe','');
 QuarantineFile('C:\Windows\System32\AppFrameHost.exe','');
 QuarantineFileF('c:\users\user\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\WINDOWS\microsoft', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\user\appdata\roaming\system', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 DeleteFile('C:\Windows\System32\AppFrameHost.exe','32');
 DeleteFile('C:\Users\user\AppData\Local\yc\Application\yc.exe','32');
 DeleteFile('C:\WINDOWS\microsoft\svchost.exe.exe','32');
 DeleteFile('C:\Users\user\appdata\roaming\system\libs\svchost.exe','32');
 DeleteService('AppFrameHost');
 DeleteFileMask('c:\users\user\appdata\local\yc','*', true);
 DeleteFileMask('C:\WINDOWS\microsoft','*', true);
 DeleteFileMask('C:\Users\user\appdata\roaming\system','*', true);
 DeleteDirectory('c:\users\user\appdata\local\yc');
 DeleteDirectory('C:\WINDOWS\microsoft');
 DeleteDirectory('C:\Users\user\appdata\roaming\system');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_87B41A820EE972244660D9B310E9350D');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(true);
end.
Компьютер перезагрузится.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы.
К сообщению прикреплять файл quarantine.zip не нужно !

2) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK http://safezone.cc/resources/clearln...-jarlykov.102/
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3) Подготовьте и приложите новый CollectionLog, повторно запустив Autologger.exe

4) Подготовьте и приложите лог сканирования AdwCleaner (FAQ по работе с утилитой AdwCleaner)
0
obdolb
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 51
Завершенные тесты: 1
16.07.2017, 11:56  [ТС] 3
Не могу отправить файл карантина, пишет "413 Request Entity Too Large"
0
obdolb
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 51
Завершенные тесты: 1
16.07.2017, 12:15  [ТС] 4
Вот остальные логи
0
Вложения
Тип файла: log ClearLNK-16.07.2017_11-57.log (2.5 Кб, 1 просмотров)
Тип файла: txt AdwCleaner[S5].txt (2.1 Кб, 10 просмотров)
Тип файла: zip CollectionLog-2017.07.16-12.08.zip (100.1 Кб, 2 просмотров)
16.07.2017, 12:15
VexMD
Эксперт по компьютерным сетям
914 / 629 / 65
Регистрация: 15.07.2012
Сообщений: 2,130
16.07.2017, 12:51 5
1) Файл карантина отправьте на этот почтовый ящик:
quarantine<at>safezone.cc (замените <at> на @),
в Теме сообщения укажите ссылку на данную тему лечения
в тексте письма укажите пароль: virus

2) Пофиксите в HiJackThis (As a "fixed a" using HijackThis) следующие строки:
Код
O9-32 - Extra button: (no name) - HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 81.171.10.42
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 94.130.44.229
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 81.171.10.42
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 94.130.44.229
3) Скачайте Farbar Recovery Scan Tool (FRST64.exe) http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ и сохраните на Рабочем столе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Упакуйте эти отчеты в один архив и приложите к своему следующему сообщению.
Подробнее читайте в этом руководстве FAQ по работе с утилитой Farbar Recovery Scan Tool
0
obdolb
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 51
Завершенные тесты: 1
16.07.2017, 15:54  [ТС] 6
Письмо отправил.

Добавлено через 31 секунду
Письмо отправил.
Прошу прощения, можно объяснить, как фиксить строки в HiJackThis?
0
VexMD
Эксперт по компьютерным сетям
914 / 629 / 65
Регистрация: 15.07.2012
Сообщений: 2,130
16.07.2017, 17:16 7
Цитата Сообщение от obdolb Посмотреть сообщение
можно объяснить, как фиксить строки в HiJackThis?
вы по ссылке As a "fixed a" using HijackThis смотрели ?
Что именно там не понятно ?
0
obdolb
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 51
Завершенные тесты: 1
25.07.2017, 15:18  [ТС] 8
Пофиксил строки, сделал отчёты
0
Вложения
Тип файла: rar FRST.rar (31.4 Кб, 2 просмотров)
VexMD
Эксперт по компьютерным сетям
914 / 629 / 65
Регистрация: 15.07.2012
Сообщений: 2,130
25.07.2017, 18:39 9
1) Создайте текстовый файл fixlist.txt в той же папке, где расположен FRST64.exe.
Cкопируйте в него нижеследующий текст и сохраните:
Код
Start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2605055683-1508232814-3397307059-1000\...\MountPoints2: {9ed8fe15-0ae8-11e6-9569-806e6f6e6963} - "E:\AutoRun.exe" 
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\2fkb7pob.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\2fkb7pob.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\2fkb7pob.default -> hxxp://mail.ru/cnt/10445?gp=811040
FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\2fkb7pob.default\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [not found]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (No Name) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-07-15]
OPR Extension: (Teddy Protection Lite) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-02-16]
2017-07-15 17:49 - 2017-07-15 17:49 - 00000000 ____D C:\Users\user\AppData\Local\Войны престолов
2017-07-15 17:45 - 2017-07-15 17:45 - 00920784 _____ C:\WINDOWS\system32\AppFrameHost.exe
2017-07-15 17:41 - 2017-07-15 19:23 - 00000000 ____D C:\Users\user\AppData\Local\wmipr
2017-07-15 17:35 - 2017-07-15 17:35 - 00000000 ____D C:\Users\user\AppData\Roaming\curl
C:\WINDOWS\Microsoft
ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
ContextMenuHandlers04: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
ContextMenuHandlers05: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> No File
ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
Task: {06A498B3-630B-432E-A0F1-0CF0E05B2CA1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {27E45FC7-988E-41C7-BCE6-2F78D104BB1F} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {4EF2415F-904F-49D2-9FF6-702349460E67} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {52BD7721-83C0-44DC-A91E-0474470A5ADC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {7FC37502-302F-4AA4-91AA-557D613872F9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {885BA7ED-C373-402F-AB8E-135180C6B9AC} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {8AF3F348-7266-4BAA-A9F8-ADD5DD4887CA} - \Lenovo\Lenovo Service Bridge\S-1-5-21-2605055683-1508232814-3397307059-1000 -> No File <==== ATTENTION
Task: {8C87CA5D-4C6C-485F-9743-26DAA0A777E7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {8D99CF43-DD75-4301-8864-66C311B8BBF2} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {A227D8D1-A2F9-40EB-8C01-4D7B62E56892} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {A272D8F4-3D6B-4126-920E-01436BCE57CD} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {B3BBE27B-CF1E-4467-8849-4FA2B4FA02C3} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {D4653703-B86B-4C6A-BA82-88220B0600BA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {DB913C4D-77D7-4C33-A99E-6F11160106A4} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {E7E31048-D01B-4135-A943-3F4F97AA2388} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
FirewallRules: [{7E6E62D9-0507-4E96-9E1B-B9FCD33C47D3}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{2BF63D41-C01B-4024-A7D7-707235BCA287}] => (Allow) C:\Users\user\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{69BEDC3A-0F7D-4536-BB78-C9490E0C3C9C}] => (Allow) C:\Users\user\AppData\Local\yc\Application\yc.exe
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST64, нажмите Fix и подождите.
Компьютер будет перезагружен автоматически.
(Имейте ввиду, что из браузеров будет удалена вся история посещений и содержимое панели быстрого доступа)
Прикрепите к следующему сообщению созданный отчет Fixlog.txt.
Подробнее читайте в этом руководстве http://www.cyberforum.ru/post7151389.html

2) Сделайте еще Полное сканирование в Malwarebytes Anti-malware FAQ по работе с Malwarebytes Anti-Malware v.3
После сканирования ничего не удаляйте.
Приложите лог, созданный при сканировании.

3) Сообщите, какие остаются проблемы.
0
obdolb
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 51
Завершенные тесты: 1
26.07.2017, 17:24  [ТС] 10
Вот логи, проблемы остались.
Малваре постоянно что-то блокирует (чаще всего yellowads.men), на ютубе всё та же кнопка "скачать". Если малвар отключить, на ютубе в рекомендованных будут левые видосы, в гугле справа от результатов баннеры, и при заходе на любой сайт убираемый только через 7 секунд баннер казино на весь экран.
0
Вложения
Тип файла: txt малваре.txt (2.6 Кб, 4 просмотров)
Тип файла: txt Fixlog.txt (14.5 Кб, 2 просмотров)
VexMD
Эксперт по компьютерным сетям
914 / 629 / 65
Регистрация: 15.07.2012
Сообщений: 2,130
27.07.2017, 16:43 11
1) Выполните повторное Полное сканирование в MBAM и удалите все найденное.

2) Поработайте в Edge - появляются ли там эти проблемы ?
Если проблемы только в Chrome, то отключите в Chrome все расширения (в том числе стандартные и знакомые) и проверьте наличие проблемы.
Если проблема пропадет, то включайте расширения по-одному, пока не найдете виновника.

Если при отключении всех расширений реклама не пропадет, то отключите синхронизацию аккаунта (если включена).
Далее сохраните нужные закладки и удалите Chrome https://support.google.com/chrome/answer/95319?hl=ru
Убедитесь, что удалена папка: C:\Users\user\AppData\Local\Google\Chrome\
Скачайте и установите Chrome заново.

Сообщите результат.
0
obdolb
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 51
Завершенные тесты: 1
28.07.2017, 14:09  [ТС] 12
Вау, действительно, проблемы были только в хроме, и нехорошими оказались 2 расширения - "Google таблицы" и "Google документы офлайн".
Неожиданно, спасибо, проблема, вроде как, решена.
0
VexMD
Эксперт по компьютерным сетям
914 / 629 / 65
Регистрация: 15.07.2012
Сообщений: 2,130
28.07.2017, 17:08 13
Проблема была в вирусах, которые подменяли легальные расширения.

Для завершения темы выполните следующие действия:

Загрузите SecurityCheck by glax24 & Severnyj http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe и сохраните утилиту на Рабочем столе.
Запустите правой кнопкой мыши от имени администратора.
Если увидите предупреждение от вашего фаерволла относительно программы SecurityCheck - не блокируйте ее работу.
После окончания сканирования в блокноте откроется лог SecurityCheck.txt.
Прикрепите файл C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
0
obdolb
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 51
Завершенные тесты: 1
28.07.2017, 23:13  [ТС] 14
Воть
0
Вложения
Тип файла: txt SecurityCheck.txt (10.5 Кб, 3 просмотров)
VexMD
Эксперт по компьютерным сетям
914 / 629 / 65
Регистрация: 15.07.2012
Сообщений: 2,130
30.07.2017, 09:42 15
1) Выполните рекомендуемые обновления:

7-Zip 15.12 (x64) v.15.12 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 4.20.0 (64-разрядная) v.4.20.0 Внимание! Скачать обновления

Skype™ 7.35 v.7.35.103 Внимание! Скачать обновления

Java 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u144-windows-i586.exe)^

Adobe Flash Player 11 Plugin v.11.5.502.135 Внимание! Скачать обновления

Google Chrome v.59.0.3071.115 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

2) Деинсталлируйте использованные при лечении утилиты (при повторных заражениях скачаете заново)
а) запустите AdwCleaner, выберите в меню Файл - Деинсталлировать, подтвердите удаление, нажав кнопку: Да
Убедитесь, что удалена папка C:\AdwCleaner.
б) удалите утилиты FRST.exe, AutoLogger.exe, SecurityCheck.exe и созданные этими утилитами папки C:\FRST, ...\AutoLogger, C:\SecurityCheck

3) читайте и выполняйте рекомендации - Рекомендации после удаления вредоносного ПО
0
30.07.2017, 09:42
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
30.07.2017, 09:42

Рекламное ПО + банеры
Скачал steam, после чего в соц сетях появились рекламные банеры. Постоянно открываются страницы с...

Вирусы и рекламное ПО
Добрый день Началось все с рекламной вкладки в браузере Хром, при запуске виндоус. Потом...

Выползает рекламное окно
Ап темку. Снова поймал похожую грязь, как в первом посте =.= Помогите пожайлуста)


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.