При нажатие на любую ссылку или область окна браузера создается новая вкладка с рекламой

@Improver · Регистрация: 25.02.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте, все началось с того что хотел скачать игру и скачал файл торрент запустил и тут все началось оказывается что данный файл торрент был замаскирован под какую та китайскую программу которая была установлена на мой компьютер, она пыталась запускать всяческие программы входившие в неё а так же при открытие браузера (Chrome) и нажатие на любую область окна начала выходить реклама, удалил данную программу через CCleaner, запустил утилиту Dr.web CureIT очистил 4 трояна, проблема не исчезла но подвисание компьютера и прочие посторонние программы исчезли с компьютера, так же эта проблема присутствует и в мозиле.

@shestale · 25.02.2015, 09:24

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\Вадим\application data\ecff01a0-1424480556-11dc-be8d-001bfc1e9477\jnsm2d4.tmp');
 StopService('kicogoco');
 StopService('kicogoco');
 QuarantineFileF('C:\Documents and Settings\Вадим\Application Data\Browsers', '*', true, '', 0 ,0);
 QuarantineFile('c:\documents and settings\Вадим\application data\ecff01a0-1424480556-11dc-be8d-001bfc1e9477\jnsm2d4.tmp', '');
 QuarantineFile('C:\Documents and Settings\Вадим\Application Data\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Documents and Settings\Вадим\Application Data\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Documents and Settings\Вадим\Application Data\Browsers\exe.xoferif.bat', '');
 DeleteFile('c:\documents and settings\Вадим\application data\ecff01a0-1424480556-11dc-be8d-001bfc1e9477\jnsm2d4.tmp', '32');
 DeleteFile('C:\Documents and Settings\Вадим\Application Data\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Documents and Settings\Вадим\Application Data\Browsers\exe.erolpxei.bat', '32');
 DeleteFile('C:\Documents and Settings\Вадим\Application Data\Browsers\exe.xoferif.bat', '32');
 DeleteFileMask('C:\Documents and Settings\Вадим\Application Data\Browsers', '*', true);
 DeleteDirectory('C:\Documents and Settings\Вадим\Application Data\Browsers');
 DeleteService('kicogoco');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('kicogoco');
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.

@Improver · 26.02.2015, 21:54 **[ТС]**

Все сделано по инструкциям! Письмо отправлено также прилагаю остальные логи.

@shestale · 27.02.2015, 12:21

1. Удалите в AdwCleaner все найденные объекты.
2. Почистите браузеры с помощью AVZ:
Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

3. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Improver · 27.02.2015, 12:50 **[ТС]**

Жду следующих указаний, т.к. проблема не изчезла.

@shestale · 27.02.2015, 13:48

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Program Files\Tencent', '*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.5.15816.217\QMUdisk.sys', '');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.5.15816.217\QMUdisk.sys', '32');
 DeleteFileMask('C:\Program Files\Tencent', '*', true);
 DeleteDirectory('C:\Program Files\Tencent');
 DeleteService('QMUdisk');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Improver · 27.02.2015, 14:17 **[ТС]**

Письмо отправлено.

@shestale · 27.02.2015, 15:24

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Program Files\Tencent\QQPCMgr\10.5.15816.217\QMAccountProtection.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list', 'C:\Program Files\Tencent\QQPCMgr\10.5.15816.217\QMAccountProtection.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list', 'C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list', 'C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe');
 DeleteFileMask('C:\Program Files\Common Files\Tencent', '*', true);
 DeleteFileMask('C:\Documents and Settings\Вадим\Application Data\Tencent', '*', true);
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Tencent', '*', true);
 DeleteDirectory('C:\Program Files\Common Files\Tencent');
 DeleteDirectory('C:\Documents and Settings\Вадим\Application Data\Tencent');
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Tencent');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

"Пофиксите" в HijackThis

Code
1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://1homepage.biz/?company=5

Отключайте\удаляйте расширения в браузерах, одно из них может быть источником рекламы
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Improver · 04.03.2015, 17:04 **[ТС]**

Выполнил всё перечисленное, отключил все расширения на всякий случай!

@Sandor · 04.03.2015, 17:17

Сообщение от shestale

1. Удалите в AdwCleaner все найденные объекты.

Это сделали? Где лог?

Через Панель управления - Удаление программ - удалите нежелательное ПО:

360Amigo System Speedup Free
Super Fast Download Manger Packages
thinkorswim

Что с проблемой?

@Improver · 05.03.2015, 00:11 **[ТС]**

Запарился совсем и забыл выложить лог с Adw. Данная проблема покамись не наблюдается. Но все же выложу лог.

@shestale · 05.03.2015, 07:41

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

@Improver · 17.03.2015, 18:48 **[ТС]**

Спасибо, огромное ребят за помощь!!! После двух недель работы данный вирус исчез. P.s. Спасибо так же данному сайту успехов вам всем!!

@shestale · 18.03.2015, 15:51

А лог скопировать и выложить забыли(((

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	25.02.2015, 09:24
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Code begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\Вадим\application data\ecff01a0-1424480556-11dc-be8d-001bfc1e9477\jnsm2d4.tmp'); StopService('kicogoco'); StopService('kicogoco'); QuarantineFileF('C:\Documents and Settings\Вадим\Application Data\Browsers', '', true, '', 0 ,0); QuarantineFile('c:\documents and settings\Вадим\application data\ecff01a0-1424480556-11dc-be8d-001bfc1e9477\jnsm2d4.tmp', ''); QuarantineFile('C:\Documents and Settings\Вадим\Application Data\Browsers\exe.emorhc.bat', ''); QuarantineFile('C:\Documents and Settings\Вадим\Application Data\Browsers\exe.erolpxei.bat', ''); QuarantineFile('C:\Documents and Settings\Вадим\Application Data\Browsers\exe.xoferif.bat', ''); DeleteFile('c:\documents and settings\Вадим\application data\ecff01a0-1424480556-11dc-be8d-001bfc1e9477\jnsm2d4.tmp', '32'); DeleteFile('C:\Documents and Settings\Вадим\Application Data\Browsers\exe.emorhc.bat', '32'); DeleteFile('C:\Documents and Settings\Вадим\Application Data\Browsers\exe.erolpxei.bat', '32'); DeleteFile('C:\Documents and Settings\Вадим\Application Data\Browsers\exe.xoferif.bat', '32'); DeleteFileMask('C:\Documents and Settings\Вадим\Application Data\Browsers', '', true); DeleteDirectory('C:\Documents and Settings\Вадим\Application Data\Browsers'); DeleteService('kicogoco'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('kicogoco'); BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Code begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Удалите параметры запуска ярлыков. Подготовьте лог AdwCleaner. 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	27.02.2015, 13:48
	Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Code begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('C:\Program Files\Tencent', '', true, '', 0 ,0); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.5.15816.217\QMUdisk.sys', ''); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.5.15816.217\QMUdisk.sys', '32'); DeleteFileMask('C:\Program Files\Tencent', '', true); DeleteDirectory('C:\Program Files\Tencent'); DeleteService('QMUdisk'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Code begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	05.03.2015, 07:41
	Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и выложите, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. 0

@Improver 2 / 2 / 0 Регистрация: 25.02.2015 Сообщений: 7
	17.03.2015, 18:48 [ТС]
	Спасибо, огромное ребят за помощь!!! После двух недель работы данный вирус исчез. P.s. Спасибо так же данному сайту успехов вам всем!! 2

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.03.2015, 15:51
	А лог скопировать и выложить забыли((( 0