Реклама и Антимат в Opera и Google Chrome

@Batonya12561 · Регистрация: 01.02.2016

Author24 — интернет-сервис помощи студентам

Несколько дней назад из неизвестного источника поймал расширения "Антимат" и "Anti obscene extension" для Оперы и Хрома соответственно. В результате, в ВК появилась реклама, полностью заменяющая собой отдельные записи в ленте. Отключение и удаление Антимата в Опере помогает от силы на полчаса, после чего браузер перезапускается и расширение встает обратно. В Хроме расширение ни отключить, ни удалить не представляется возможным. Помимо этого, в списке установленных приложений появилась строка ">google search"

Логи, собранные с помощью AutoLogger'a :
CollectionLog-2016.02.02-12.43.zip

@Sandor · 01.02.2016, 12:05

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя {{ts}}. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

> Chrome Search

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '');
 DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Подготовьте лог сканирования AdwCleaner.

@Batonya12561 · 01.02.2016, 15:00 **[ТС]**

При попытке удалить ">Google Search" выдало ошибку, после чего перенаправило на страницу "Cosmosearch" с уведомлением об успешном удалении. Само ПО в списке установленных по прежнему находится. Несмотря на это, все же выполнил скрипт (предварительно отключив антивирус и файрволл)
Файл "quarantine.zip" отправил по форме.

Логи из AdwCleaner'a:
AdwCleaner[S1].txt

Сообщение об ошибке при удалении:

Реклама и Антимат в Opera и Google Chrome

Перенаправление на "Cosmosearch":

@Sandor · 01.02.2016, 15:05

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Batonya12561 · 01.02.2016, 15:30 **[ТС]**

Готово.

Все файлы в архиве:
Scan.zip

@Sandor · 01.02.2016, 15:46

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
(IObit) C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2165978744-2385484649-4147454852-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (Anti-obscene) - C:\Users\Valentin\AppData\Local\Google\Chrome\User Data\Default\Extensions\npdpaabpkcahccgoakgkgjfgalcpfhlb [2016-02-02]
OPR Extension: (Антимат) - C:\Users\Valentin\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-02-02]
R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit)
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\TsNetHlpX64.sys [X]
2016-01-30 15:04 - 2016-01-30 15:04 - 01472640 _____ C:\Users\Valentin\Downloads\QQPCDownload1322 (1).exe
2016-01-30 14:55 - 2016-01-30 14:55 - 01472640 _____ C:\Users\Valentin\Downloads\QQPCDownload1322.exe
2016-01-30 13:36 - 2016-01-30 13:36 - 00000000 ____D C:\WINDOWS\Tasks\ImCleanDisabled
2016-01-30 13:36 - 2016-01-30 13:36 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\Apple Computer
2016-01-30 13:36 - 2016-01-30 13:36 - 00000000 ____D C:\Users\Valentin\AppData\LocalLow\IObit
2016-01-30 13:36 - 2016-01-30 13:36 - 00000000 ____D C:\Users\Home\AppData\Roaming\IObit
2016-01-30 13:36 - 2016-01-30 13:36 - 00000000 ____D C:\ProgramData\ProductData
2016-01-30 13:36 - 2016-01-30 13:36 - 00000000 ____D C:\ProgramData\IObit
2016-01-30 13:36 - 2016-01-30 13:36 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-01-30 13:35 - 2016-01-30 13:55 - 00000000 ____D C:\Program Files (x86)\IObit
2016-01-30 13:35 - 2016-01-30 13:36 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\IObit
2016-01-30 13:34 - 2016-01-30 13:52 - 00000000 ____D C:\Users\Valentin\AppData\Local\ZetaGamesViewer
2016-01-30 13:34 - 2016-01-30 13:52 - 00000000 ____D C:\Users\Valentin\AppData\Local\ZetaGamesNews
2016-01-30 13:32 - 2016-01-30 13:32 - 00000000 ____D C:\Users\Valentin\AppData\Local\Hostinstaller
2016-01-30 13:30 - 2016-02-01 21:56 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\Calculator
2016-01-30 13:30 - 2016-01-30 16:54 - 00000000 ____D C:\Users\Valentin\AppData\LocalLow\Unity
2016-01-30 13:30 - 2016-01-30 16:54 - 00000000 ____D C:\Users\Valentin\AppData\Local\Unity
2016-01-30 13:30 - 2016-01-30 13:31 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\MailProducts
2016-01-30 13:29 - 2016-01-30 13:30 - 00000000 ____D C:\Users\Valentin\AppData\Roaming\Micron
FirewallRules: [{766BDEED-86B9-4ECA-8D34-E6393A2D6196}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{24F032F2-AA00-4812-9499-C4FF30196AD4}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{401E32FF-E671-453C-9463-1D1D8D55623F}] => (Allow) C:\Torrentex\Torrentex.exe
FirewallRules: [{2403F54C-408B-442A-A8C4-100A1FDF9ED3}] => (Allow) C:\Torrentex\Torrentex.exe
FirewallRules: [{8405D498-90F6-4F06-8A3F-229178D2E6D7}] => (Allow) C:\Users\Valentin\Downloads\QQPCDownload1322.exe
FirewallRules: [{5649CBAF-522D-48E6-97BA-1AC5E3AC1706}] => (Allow) C:\Users\Valentin\Downloads\QQPCDownload1322.exe
FirewallRules: [{36B102F7-B9D0-49D2-8F38-5573F91F9411}] => (Allow) C:\Users\Valentin\Downloads\QQPCDownload1322 (1).exe
FirewallRules: [{B68B7472-479C-4C98-ADA6-1E2A1CA61C58}] => (Allow) C:\Users\Valentin\Downloads\QQPCDownload1322 (1).exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Запустите frst64.exe, в поле Search введите

> Chrome Search

нажмите Registry Search. Итоговый файл Search.txt приложите к следующему сообщению.

@Batonya12561 · 01.02.2016, 16:06 **[ТС]**

Первый файл:
Fixlog.txt
Второй файл:
Search.txt

@Sandor · 01.02.2016, 16:34

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2AEF02C351594C81A6888D954F0DEE56}_NewSearch]
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

@Batonya12561 · 01.02.2016, 17:07 **[ТС]**

Готово.
Fixlog.txt
Проверил расширения в браузерах- исчезли. Появятся снова или нет- будем ждать.
"> Google Search" из списка программ исчез, но появился "Microsoft Extention". Стоит ли вновь бить тревогу?

@Sandor · 01.02.2016, 17:08

Сообщение от Batonya12561

но появился "Microsoft Extention"

Удалите и повторите логи FRST.

@Batonya12561 · 01.02.2016, 17:13 **[ТС]**

При попытке удалить выдало сообщение, что программа уже удалена, после чего было предложено удалить ее из списка. Я, как истинный самодур, нажал, разумеется, "Да".
Файлы скана в архиве:
Scan.zip

@Sandor · 01.02.2016, 17:24

Не волнуйтесь, все нормально))

В логах порядок. Завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

2.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Batonya12561 · 01.02.2016, 17:29 **[ТС]**

Не паникуем и следуем инструкциям.
SecurityCheck.txt

@Sandor · 01.02.2016, 17:43

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17031 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.18 v.7.18.103 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u72-windows-i586.exe)^

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@Batonya12561 · 01.02.2016, 17:51 **[ТС]**

Низкий вам поклон, и от чистого сердца "спасибо"! Плюс один сайт в закладки и однозначная рекомендация знакомым.

@Batonya12561 0 / 0 / 0 Регистрация: 01.02.2016 Сообщений: 10
		1
	Реклама и Антимат в Opera и Google Chrome 01.02.2016, 05:54. Показов 2406. Ответов 14 Метки нет (Все метки) Несколько дней назад из неизвестного источника поймал расширения "Антимат" и "Anti obscene extension" для Оперы и Хрома соответственно. В результате, в ВК появилась реклама, полностью заменяющая собой отдельные записи в ленте. Отключение и удаление Антимата в Опере помогает от силы на полчаса, после чего браузер перезапускается и расширение встает обратно. В Хроме расширение ни отключить, ни удалить не представляется возможным. Помимо этого, в списке установленных приложений появилась строка ">google search" Логи, собранные с помощью AutoLogger'a : CollectionLog-2016.02.02-12.43.zip 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	01.02.2016, 12:05	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя {{ts}}. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: > Chrome Search Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', ''); DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы. К сообщению прикреплять карантин не нужно! Подготовьте лог сканирования AdwCleaner. 1

@Batonya12561 0 / 0 / 0 Регистрация: 01.02.2016 Сообщений: 10
	01.02.2016, 15:00 [ТС]	3
	При попытке удалить ">Google Search" выдало ошибку, после чего перенаправило на страницу "Cosmosearch" с уведомлением об успешном удалении. Само ПО в списке установленных по прежнему находится. Несмотря на это, все же выполнил скрипт (предварительно отключив антивирус и файрволл) Файл "quarantine.zip" отправил по форме. Логи из AdwCleaner'a: AdwCleaner[S1].txt Сообщение об ошибке при удалении: Перенаправление на "Cosmosearch": 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	01.02.2016, 15:05	4
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Batonya12561 0 / 0 / 0 Регистрация: 01.02.2016 Сообщений: 10
	01.02.2016, 15:30 [ТС]	5
	Готово. Все файлы в архиве: Scan.zip 0

@Batonya12561 0 / 0 / 0 Регистрация: 01.02.2016 Сообщений: 10
	01.02.2016, 16:06 [ТС]	7
	Первый файл: Fixlog.txt Второй файл: Search.txt 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	01.02.2016, 16:34	8
	Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните. Windows Batch file start [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2AEF02C351594C81A6888D954F0DEE56}_NewSearch] Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Сообщите что с проблемой. 1

@Batonya12561 0 / 0 / 0 Регистрация: 01.02.2016 Сообщений: 10
	01.02.2016, 17:07 [ТС]	9
	Готово. Fixlog.txt Проверил расширения в браузерах- исчезли. Появятся снова или нет- будем ждать. "> Google Search" из списка программ исчез, но появился "Microsoft Extention". Стоит ли вновь бить тревогу? 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	01.02.2016, 17:08	10
	Сообщение от Batonya12561 но появился "Microsoft Extention" Удалите и повторите логи FRST. 1

@Batonya12561 0 / 0 / 0 Регистрация: 01.02.2016 Сообщений: 10
	01.02.2016, 17:13 [ТС]	11
	При попытке удалить выдало сообщение, что программа уже удалена, после чего было предложено удалить ее из списка. Я, как истинный самодур, нажал, разумеется, "Да". Файлы скана в архиве: Scan.zip 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	01.02.2016, 17:24	12
	Не волнуйтесь, все нормально)) В логах порядок. Завершаем: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. 2. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

	01.02.2016, 17:51

@Batonya12561 0 / 0 / 0 Регистрация: 01.02.2016 Сообщений: 10
	01.02.2016, 17:29 [ТС]	13
	Не паникуем и следуем инструкциям. SecurityCheck.txt 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	01.02.2016, 17:43	14
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17031 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Автоматическое обновление отключено --------------------------------- [ IM ] ---------------------------------- Skype™ 7.18 v.7.18.103 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u72-windows-i586.exe)^ Прочтите и выполните Рекомендации после удаления вредоносного ПО 1

@Batonya12561 0 / 0 / 0 Регистрация: 01.02.2016 Сообщений: 10
	01.02.2016, 17:51 [ТС]	15
	Низкий вам поклон, и от чистого сердца "спасибо"! Плюс один сайт в закладки и однозначная рекомендация знакомым. 0