0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 53
|
|
1 | |
Рекламное ПО в браузере15.07.2017, 20:52. Показов 1356. Ответов 14
Метки нет (Все метки)
Поудалял всё подозрительное из диспетчера приложений, почистил всё с помощью AdwCleaner и Malwarebytes, но в поиске гугла до сих пор рекламные баннеры, которые пропускают даже malware и adblock, в ютубе у видео появилась кнопка "скачать", и от malware периодически всплывают оповещения о блокировке yellowads.men и других ресурсов с нечитаемыми названиями.
лог
0
|
15.07.2017, 20:52 | |
Ответы с готовыми решениями:
14
Рекламное окно в браузере Всплывающее рекламное окно в браузере Изменяется стартовая страница в браузере и устанавливается рекламное ПО Установилось рекламное ПО |
1061 / 665 / 75
Регистрация: 15.07.2012
Сообщений: 2,273
|
|
15.07.2017, 22:15 | 2 |
1) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО Как временно выгрузить антивирусный продукт?
Выполните скрипт в AVZ (Файл - Выполнить скрипт) Как выполнить скрипт в AVZ Код
begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\user\appdata\local\yc\application\yc.exe'); TerminateProcessByName('C:\Windows\System32\AppFrameHost.exe'); SetServiceStart('AppFrameHost', 4); StopService('AppFrameHost'); QuarantineFile('C:\Users\user\appdata\roaming\system\libs\svchost.exe',''); QuarantineFile('C:\WINDOWS\microsoft\svchost.exe.exe',''); QuarantineFile('C:\Users\user\AppData\Local\yc\Application\yc.exe',''); QuarantineFile('C:\Windows\System32\AppFrameHost.exe',''); QuarantineFileF('c:\users\user\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('C:\WINDOWS\microsoft', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('C:\Users\user\appdata\roaming\system', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); DeleteFile('C:\Windows\System32\AppFrameHost.exe','32'); DeleteFile('C:\Users\user\AppData\Local\yc\Application\yc.exe','32'); DeleteFile('C:\WINDOWS\microsoft\svchost.exe.exe','32'); DeleteFile('C:\Users\user\appdata\roaming\system\libs\svchost.exe','32'); DeleteService('AppFrameHost'); DeleteFileMask('c:\users\user\appdata\local\yc','*', true); DeleteFileMask('C:\WINDOWS\microsoft','*', true); DeleteFileMask('C:\Users\user\appdata\roaming\system','*', true); DeleteDirectory('c:\users\user\appdata\local\yc'); DeleteDirectory('C:\WINDOWS\microsoft'); DeleteDirectory('C:\Users\user\appdata\roaming\system'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_87B41A820EE972244660D9B310E9350D'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы. К сообщению прикреплять файл quarantine.zip не нужно ! 2) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK http://safezone.cc/resources/c... lykov.102/ Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 3) Подготовьте и приложите новый CollectionLog, повторно запустив Autologger.exe 4) Подготовьте и приложите лог сканирования AdwCleaner (FAQ по работе с утилитой AdwCleaner)
0
|
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 53
|
|
16.07.2017, 11:56 [ТС] | 3 |
Не могу отправить файл карантина, пишет "413 Request Entity Too Large"
0
|
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 53
|
|
16.07.2017, 12:15 [ТС] | 4 |
Вот остальные логи
0
|
1061 / 665 / 75
Регистрация: 15.07.2012
Сообщений: 2,273
|
|
16.07.2017, 12:51 | 5 |
1) Файл карантина отправьте на этот почтовый ящик:
quarantine<at>safezone.cc (замените <at> на @), в Теме сообщения укажите ссылку на данную тему лечения в тексте письма укажите пароль: virus 2) Пофиксите в HiJackThis (Как "пофиксить" с помощью HijackThis) следующие строки: Код
O9-32 - Extra button: (no name) - HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file) O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 81.171.10.42 O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 82.202.226.203 O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 94.130.44.229 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 81.171.10.42 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 82.202.226.203 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac15406-7a68-4fd6-9874-1fbd84e06d27}: NameServer = 94.130.44.229 Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Упакуйте эти отчеты в один архив и приложите к своему следующему сообщению. Подробнее читайте в этом руководстве FAQ по работе с утилитой Farbar Recovery Scan Tool
0
|
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 53
|
|
16.07.2017, 15:54 [ТС] | 6 |
Письмо отправил.
Добавлено через 31 секунду Письмо отправил. Прошу прощения, можно объяснить, как фиксить строки в HiJackThis?
0
|
1061 / 665 / 75
Регистрация: 15.07.2012
Сообщений: 2,273
|
|
16.07.2017, 17:16 | 7 |
вы по ссылке Как "пофиксить" с помощью HijackThis смотрели ?
Что именно там не понятно ?
0
|
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 53
|
|
25.07.2017, 15:18 [ТС] | 8 |
Пофиксил строки, сделал отчёты
0
|
1061 / 665 / 75
Регистрация: 15.07.2012
Сообщений: 2,273
|
|
25.07.2017, 18:39 | 9 |
1) Создайте текстовый файл fixlist.txt в той же папке, где расположен FRST64.exe.
Cкопируйте в него нижеследующий текст и сохраните: Код
Start CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-2605055683-1508232814-3397307059-1000\...\MountPoints2: {9ed8fe15-0ae8-11e6-9569-806e6f6e6963} - "E:\AutoRun.exe" GroupPolicy: Restriction <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION FF DefaultSearchEngine: Mozilla\Firefox\Profiles\2fkb7pob.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\2fkb7pob.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\2fkb7pob.default -> hxxp://mail.ru/cnt/10445?gp=811040 FF Extension: (No Name) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\2fkb7pob.default\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [not found] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (No Name) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-07-15] OPR Extension: (Teddy Protection Lite) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-02-16] 2017-07-15 17:49 - 2017-07-15 17:49 - 00000000 ____D C:\Users\user\AppData\Local\Войны престолов 2017-07-15 17:45 - 2017-07-15 17:45 - 00920784 _____ C:\WINDOWS\system32\AppFrameHost.exe 2017-07-15 17:41 - 2017-07-15 19:23 - 00000000 ____D C:\Users\user\AppData\Local\wmipr 2017-07-15 17:35 - 2017-07-15 17:35 - 00000000 ____D C:\Users\user\AppData\Roaming\curl C:\WINDOWS\Microsoft ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File ContextMenuHandlers04: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File ContextMenuHandlers05: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> No File ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File Task: {06A498B3-630B-432E-A0F1-0CF0E05B2CA1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {27E45FC7-988E-41C7-BCE6-2F78D104BB1F} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION Task: {4EF2415F-904F-49D2-9FF6-702349460E67} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {52BD7721-83C0-44DC-A91E-0474470A5ADC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {7FC37502-302F-4AA4-91AA-557D613872F9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {885BA7ED-C373-402F-AB8E-135180C6B9AC} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION Task: {8AF3F348-7266-4BAA-A9F8-ADD5DD4887CA} - \Lenovo\Lenovo Service Bridge\S-1-5-21-2605055683-1508232814-3397307059-1000 -> No File <==== ATTENTION Task: {8C87CA5D-4C6C-485F-9743-26DAA0A777E7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {8D99CF43-DD75-4301-8864-66C311B8BBF2} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {A227D8D1-A2F9-40EB-8C01-4D7B62E56892} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {A272D8F4-3D6B-4126-920E-01436BCE57CD} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {B3BBE27B-CF1E-4467-8849-4FA2B4FA02C3} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION Task: {D4653703-B86B-4C6A-BA82-88220B0600BA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {DB913C4D-77D7-4C33-A99E-6F11160106A4} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION Task: {E7E31048-D01B-4135-A943-3F4F97AA2388} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION FirewallRules: [{7E6E62D9-0507-4E96-9E1B-B9FCD33C47D3}] => (Allow) C:\Program Files\UBar\ubar.exe FirewallRules: [{2BF63D41-C01B-4024-A7D7-707235BCA287}] => (Allow) C:\Users\user\AppData\Local\Amigo\Application\amigo.exe FirewallRules: [{69BEDC3A-0F7D-4536-BB78-C9490E0C3C9C}] => (Allow) C:\Users\user\AppData\Local\yc\Application\yc.exe EmptyTemp: Reboot: end Компьютер будет перезагружен автоматически. (Имейте ввиду, что из браузеров будет удалена вся история посещений и содержимое панели быстрого доступа) Прикрепите к следующему сообщению созданный отчет Fixlog.txt. Подробнее читайте в этом руководстве https://www.cyberforum.ru/post7151389.html 2) Сделайте еще Полное сканирование в Malwarebytes Anti-malware FAQ по работе с Malwarebytes Anti-Malware v.3 После сканирования ничего не удаляйте. Приложите лог, созданный при сканировании. 3) Сообщите, какие остаются проблемы.
0
|
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 53
|
|
26.07.2017, 17:24 [ТС] | 10 |
Вот логи, проблемы остались.
Малваре постоянно что-то блокирует (чаще всего yellowads.men), на ютубе всё та же кнопка "скачать". Если малвар отключить, на ютубе в рекомендованных будут левые видосы, в гугле справа от результатов баннеры, и при заходе на любой сайт убираемый только через 7 секунд баннер казино на весь экран.
0
|
1061 / 665 / 75
Регистрация: 15.07.2012
Сообщений: 2,273
|
|
27.07.2017, 16:43 | 11 |
1) Выполните повторное Полное сканирование в MBAM и удалите все найденное.
2) Поработайте в Edge - появляются ли там эти проблемы ? Если проблемы только в Chrome, то отключите в Chrome все расширения (в том числе стандартные и знакомые) и проверьте наличие проблемы. Если проблема пропадет, то включайте расширения по-одному, пока не найдете виновника. Если при отключении всех расширений реклама не пропадет, то отключите синхронизацию аккаунта (если включена). Далее сохраните нужные закладки и удалите Chrome https://support.google.com/chr... 5319?hl=ru Убедитесь, что удалена папка: C:\Users\user\AppData\Local\Google\Chrome\ Скачайте и установите Chrome заново. Сообщите результат.
0
|
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 53
|
|
28.07.2017, 14:09 [ТС] | 12 |
Вау, действительно, проблемы были только в хроме, и нехорошими оказались 2 расширения - "Google таблицы" и "Google документы офлайн".
Неожиданно, спасибо, проблема, вроде как, решена.
0
|
1061 / 665 / 75
Регистрация: 15.07.2012
Сообщений: 2,273
|
|
28.07.2017, 17:08 | 13 |
Проблема была в вирусах, которые подменяли легальные расширения.
Для завершения темы выполните следующие действия: Загрузите SecurityCheck by glax24 & Severnyj http://tools.safezone.cc/glax2... yCheck.exe и сохраните утилиту на Рабочем столе. Запустите правой кнопкой мыши от имени администратора. Если увидите предупреждение от вашего фаерволла относительно программы SecurityCheck - не блокируйте ее работу. После окончания сканирования в блокноте откроется лог SecurityCheck.txt. Прикрепите файл C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
0
|
0 / 0 / 0
Регистрация: 05.03.2015
Сообщений: 53
|
|
28.07.2017, 23:13 [ТС] | 14 |
Воть
0
|
1061 / 665 / 75
Регистрация: 15.07.2012
Сообщений: 2,273
|
|
30.07.2017, 09:42 | 15 |
1) Выполните рекомендуемые обновления:
7-Zip 15.12 (x64) v.15.12 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 4.20.0 (64-разрядная) v.4.20.0 Внимание! Скачать обновления Skype™ 7.35 v.7.35.103 Внимание! Скачать обновления Java 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u144-windows-i586.exe)^ Adobe Flash Player 11 Plugin v.11.5.502.135 Внимание! Скачать обновления Google Chrome v.59.0.3071.115 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. 2) Деинсталлируйте использованные при лечении утилиты (при повторных заражениях скачаете заново) а) запустите AdwCleaner, выберите в меню Файл - Деинсталлировать, подтвердите удаление, нажав кнопку: Да Убедитесь, что удалена папка C:\AdwCleaner. б) удалите утилиты FRST.exe, AutoLogger.exe, SecurityCheck.exe и созданные этими утилитами папки C:\FRST, ...\AutoLogger, C:\SecurityCheck 3) читайте и выполняйте рекомендации - Рекомендации после удаления вредоносного ПО
0
|
30.07.2017, 09:42 | |
30.07.2017, 09:42 | |
Помогаю со студенческими работами здесь
15
Вирусы и рекламное ПО Рекламное ПО + банеры Нежелательное рекламное ПО Всплывающее рекламное окно Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |