В браузере периодически открывается вкладка с рекламой

@MilkyWay69 · Регистрация: 29.05.2017

Студворк — интернет-сервис помощи студентам

Периодически открывается getbonus.info в браузере или другая какая-нибудь реклама, помогите пожалуйста!

@Sandor · 30.05.2017, 10:03

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя MilkyWay69. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 QuarantineFile('C:\Users\Влад\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Windows\system32\tasks\newsfor24netvhrots', '');
 ExecuteFile('schtasks.exe', '/delete /TN "newsfor24netvhrots" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 DeleteFile('C:\Users\Влад\AppData\Roaming\Microsoft\msi.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rvslculigq');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@MilkyWay69 · 30.05.2017, 12:31 **[ТС]**

вот логи

@Sandor · 30.05.2017, 12:42

Подготовьте и прикрепите лог сканирования AdwCleaner.

@MilkyWay69 · 30.05.2017, 13:09 **[ТС]**

вот

@Sandor · 30.05.2017, 13:14

C:\AdwCleaner\AdwCleaner[C2].txt - тоже покажите.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@MilkyWay69 · 30.05.2017, 13:20 **[ТС]**

вот

@MilkyWay69 · 30.05.2017, 13:30 **[ТС]**

держите

@Sandor · 30.05.2017, 13:47

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
Start::
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
FF Keyword.URL: Mozilla\Firefox\Profiles\ac3e6h3c.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B5A733ECF-698D-4894-9048-862B2EBD6D7A%7D&gp=831106
FF Extension: (No Name) - C:\Users\Р’Р»Р°Рґ\AppData\Roaming\Mozilla\Firefox\Profiles\ac3e6h3c.default\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [not found]
FF Extension: (No Name) - C:\Users\Влад\AppData\Roaming\Mozilla\Firefox\Profiles\ac3e6h3c.default\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [not found]
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B4535A9FC-1253-44CD-A82A-FB0F37B8EB40%7D&gp=831103
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Влад\AppData\Local\Google\Chrome\User Data\Default\Extensions\epgjfmblhacacphaljkdcjllkomdcjpc [2017-05-23]
OPR StartupUrls: "hxxp://ochalsa.ru/?utm_source=startpage03&utm_content=bb8d1aa2ce2443f33bd21182645b2e46&utm_term=F3E8452382DE6C217CAB3CE72D6EE17E&utm_d=20170522"
S2 ihctrl32; C:\Windows\System32\svchost.exe [38792 2014-10-29] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 ihctrl32; C:\Windows\SysWOW64\svchost.exe [33088 2014-10-29] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 wsaudio; C:\Windows\System32\svchost.exe [38792 2014-10-29] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
S2 wsaudio; C:\Windows\SysWOW64\svchost.exe [33088 2014-10-29] (Microsoft Corporation) <==== ATTENTION (ServiceDLL not found)
2017-05-22 10:55 - 2017-05-22 10:55 - 00000000 ____D C:\Users\Влад\AppData\Roaming\Tortoise SVN
2017-05-22 10:49 - 2017-05-22 11:19 - 00000000 ____D C:\Users\Влад\AppData\Local\geckof
2017-05-22 10:48 - 2017-05-22 10:48 - 00000000 ____D C:\Program Files (x86)\filter2
2017-05-22 09:59 - 2017-05-22 20:50 - 00000000 ____D C:\Users\Влад\AppData\Local\wupdate
2017-05-22 09:58 - 2017-05-22 10:59 - 00000000 ____D C:\Users\Влад\AppData\Local\ifgker
2017-05-22 09:53 - 2017-05-22 10:44 - 00003194 __RSH C:\Windows\System32\Tasks\MSI
Task: {90677F34-4DF9-4C44-A00C-1D001DA0E22A} - System32\Tasks\MSI => C:\Users\Влад\AppData\Roaming\Microsoft\msi.exe 
FirewallRules: [{B8FE5633-2E23-4A83-A00E-39CB4606D6D1}] => (Allow) C:\Users\Влад\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@MilkyWay69 · 30.05.2017, 13:57 **[ТС]**

держите

@Sandor · 30.05.2017, 13:59

Проблема решена?

@MilkyWay69 · 30.05.2017, 14:04 **[ТС]**

ну пока что ничего не выскакивает, посмотрю на протяжении дня что будет дальше, спасибо за помощь)

@Sandor · 30.05.2017, 14:25

Проделайте завершающие шаги и наблюдайте:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@MilkyWay69 · 30.05.2017, 17:20 **[ТС]**

ну пока что всё нормально, ничего не вылазит)

@Sandor · 31.05.2017, 08:33

--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.11 (64-разрядная) v.5.11.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.0 v.7.0.102 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.2.32691 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 20 (64-bit) v.8.0.200 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u131-windows-x64.exe)^
Java 8 Update 20 v.8.0.200 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u131-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.09) - Russian v.11.0.09 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 32.0.3 (x86 ru) v.32.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
CoreTempApp Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,825
	30.05.2017, 12:42
	Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,825
	30.05.2017, 13:14
	C:\AdwCleaner\AdwCleaner[C2].txt - тоже покажите. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,825
	30.05.2017, 13:59
	Проблема решена? 0

@MilkyWay69 0 / 0 / 0 Регистрация: 29.05.2017 Сообщений: 8
	30.05.2017, 14:04 [ТС]
	ну пока что ничего не выскакивает, посмотрю на протяжении дня что будет дальше, спасибо за помощь) 0

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,825
	30.05.2017, 14:25
	Проделайте завершающие шаги и наблюдайте: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,825
	31.05.2017, 08:33
	--------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.11 (64-разрядная) v.5.11.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.0 v.7.0.102 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.2.32691 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 20 (64-bit) v.8.0.200 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u131-windows-x64.exe)^ Java 8 Update 20 v.8.0.200 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u131-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader XI (11.0.09) - Russian v.11.0.09 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 32.0.3 (x86 ru) v.32.0.3 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ---------------------------- [ UnwantedApps ] ----------------------------- CoreTempApp Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Прочтите и выполните Рекомендации после удаления вредоносного ПО 0