По щелчку на сайтах в новом окне открывается рекламный сайт

@Bot_Patriot · Регистрация: 13.02.2015

Студворк — интернет-сервис помощи студентам

Скачал архив с установочным файлом модов к World of Tanks с сайта [ссылка]. Только когда запустил exe*шник, понял, что сайт-то не тот. На рабочем столе появились ярлыки одноклассников, и еще пары каких-то левых программ. Открываю Хром, и по щелчку на любом месте любого сайта в первую очередь открывается в новом окне рекламный сайт. Такая же ситуация с IE и mozilla ff. CureIt нашел 1 троян, удаление которго не изменило ситуацию. Посерфив интернет, пробовал пересоздать ярлыки браузеров, чистить файл hosts (там действительно были ненужные ссылки в конце), проверял всю систему SpyHunterом4 ( опасности находил разные (тулбары и hao123 особенно часто), но после очистки ничего не поменялось). + ко всему этому сильно замедлилась работа системы, периодически появляются неизвестные процессы в диспетчере. Прошу вашей помощи в лечении.

@thyrex · 14.02.2015, 12:51

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

http://dragokas.com/tools/move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Антон\AppData\Local\Microsoft\Windows\toolbar.exe','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Антон\AppData\Roaming\Browsers\exe.emorhc.bat','');
 DeleteFile('C:\Users\Антон\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Антон\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Users\Антон\AppData\Local\Microsoft\Windows\toolbar.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Code
1
2
3
begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

@Bot_Patriot · 14.02.2015, 20:43 **[ТС]**

отчет и логи

@thyrex · 14.02.2015, 22:47

Сделайте лог FRST

@Bot_Patriot · 14.02.2015, 23:16 **[ТС]**

в архиве все 3 отчета

@thyrex · 16.02.2015, 00:38

Выполните скрипт в FRST

Code
1
2
3
4
5
6
7
8
9
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3269487964-2468834849-2749314580-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\.DEFAULT -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-3269487964-2468834849-2749314580-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3269487964-2468834849-2749314580-1001 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path
Task: {E2CF02D3-5501-4411-8E25-7A9CEA86EFC0} - \SystemScript No Task File <==== ATTENTION

@Bot_Patriot · 16.02.2015, 00:57 **[ТС]**

готово

@thyrex · 16.02.2015, 01:01

Что с проблемой?

@Bot_Patriot · 16.02.2015, 01:05 **[ТС]**

сайты по-прежнему открываются(((

@thyrex · 16.02.2015, 12:54

Отключите все установленные расширения для браузеров и проверьте наличие проблемы

@Bot_Patriot · 16.02.2015, 16:56 **[ТС]**

отключил adblock, проблема исчезла. Неужели проблема была в нем?

@thyrex · 16.02.2015, 23:14

Если версия у него 39, то это фэйковое расширение

@Bot_Patriot · 16.02.2015, 23:40 **[ТС]**

так точно. 39. Спасибо большое за помощь! Проблема полностью исчезла, можно закрывать тему!

@Sandor · 17.02.2015, 09:18

Выполните скрипт в AVZ при наличии доступа в интернет:

Code
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .
SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .

@thyrex 14445 / 7486 / 1580 Регистрация: 06.09.2009 Сообщений: 27,129
	14.02.2015, 22:47
	Сделайте лог FRST 0

@thyrex 14445 / 7486 / 1580 Регистрация: 06.09.2009 Сообщений: 27,129
	16.02.2015, 01:01
	Что с проблемой? 0

@Bot_Patriot 0 / 0 / 0 Регистрация: 13.02.2015 Сообщений: 17
	16.02.2015, 01:05 [ТС]
	сайты по-прежнему открываются((( 0

@thyrex 14445 / 7486 / 1580 Регистрация: 06.09.2009 Сообщений: 27,129
	16.02.2015, 12:54
	Отключите все установленные расширения для браузеров и проверьте наличие проблемы 0

@Bot_Patriot 0 / 0 / 0 Регистрация: 13.02.2015 Сообщений: 17
	16.02.2015, 16:56 [ТС]
	отключил adblock, проблема исчезла. Неужели проблема была в нем? 0

@thyrex 14445 / 7486 / 1580 Регистрация: 06.09.2009 Сообщений: 27,129
	16.02.2015, 23:14
	Если версия у него 39, то это фэйковое расширение 0

@Bot_Patriot 0 / 0 / 0 Регистрация: 13.02.2015 Сообщений: 17
	16.02.2015, 23:40 [ТС]
	так точно. 39. Спасибо большое за помощь! Проблема полностью исчезла, можно закрывать тему! 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	17.02.2015, 09:18
	Выполните скрипт в AVZ при наличии доступа в интернет: Code var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО 0