Открываются новые вкладки в браузере, всплывающие окна

@vgkseul26 · Регистрация: 18.07.2017

Студворк — интернет-сервис помощи студентам

Доброго времени суток! Подхватил сегодня какую-то гадость. Стали открываться новые вкладки, появились всплывающие окна с рекламой там, где их быть не должно. Самостоятельно устранить проблему не смог, поэтому прошу помощи.
Прикрепил логи из программ FRST и Adw.

@Sandor · 19.07.2017, 09:38

Здравствуйте!

Начните с логов по правилам:
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@vgkseul26 · 19.07.2017, 20:12 **[ТС]**

Готово

@Sandor · 20.07.2017, 09:20

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя vgkseul26. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Windows\System32\icacl.exe');
 StopService('icacl');
 QuarantineFile('C:\Program Files (x86)\YiuAskU2\GXMiyrk.dll','');
 QuarantineFile('C:\Users\Ser\AppData\Roaming\curl\curl_7_54.exe','');
 QuarantineFile('C:\Users\Ser\AppData\Roaming\curl\curl.exe','');
 QuarantineFile('C:\Windows\System32\icacl.exe', '');
 QuarantineFile('C:\Users\Ser\AppData\Roaming\Microsoft\msi.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "U2_2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2" /F', 0, 15000, true);
 DeleteFile('C:\Users\Ser\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('C:\Users\Ser\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\Program Files (x86)\YiuAskU2\GXMiyrk.dll','32');
 DeleteFile('C:\Windows\System32\icacl.exe', '32');
 DeleteFile('C:\Users\Ser\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteService('icacl');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@vgkseul26 · 20.07.2017, 21:04 **[ТС]**

Сделал

@Sandor · 21.07.2017, 08:50

Сделайте свежие логи:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@vgkseul26 · 22.07.2017, 19:51 **[ТС]**

Готово

@Sandor · 24.07.2017, 09:28

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
Start::
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-857027632-1390383311-2674119143-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B600B838E-30E3-4A94-8C38-04AE4E57F68E%7D&gp=811041
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer.dll => No File
BHO: YoutubeAdBlock -> {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} -> C:\Program Files (x86)\YiuAskIE\txW9ag5im.dll [2017-07-18] ()
BHO-x32: YoutubeAdBlock -> {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} -> C:\Program Files (x86)\YiuAskIE\kpgxrp6Ut.dll [2017-07-18] ()
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://www.duckduckgo.com
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BE3A607CA-30F7-41F7-8D5D-18C5E4EFE27F%7D&gp=811041
FF Extension: (Adblocker for Youtube™) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{5C3FD6D1-9185-4195-B5E1-FAB622427F59} [2017-07-18] [not signed]
CHR HomePage: Default -> inline.go.mail.ru
CHR DefaultSearchURL: Default -> hxxps://duckduckgo.com/?q={searchTerms}
CHR DefaultSearchKeyword: Default -> duckduckgo
CHR DefaultSuggestURL: Default -> hxxps://ac.duckduckgo.com/ac/?q={searchTerms}&type=list
2017-07-18 16:38 - 2017-07-20 21:32 - 00000000 ____D C:\Program Files (x86)\YiuAskU2
2017-07-18 16:38 - 2017-07-18 19:21 - 00000000 ____D C:\Program Files (x86)\YiuAskUn
2017-07-18 16:38 - 2017-07-18 19:21 - 00000000 ____D C:\Program Files (x86)\YiuAskIE
2017-07-18 16:38 - 2017-07-18 17:04 - 00000000 ____D C:\Program Files (x86)\YiuAskU
2017-07-18 16:25 - 2017-07-18 16:25 - 00920784 _____ C:\WINDOWS\system32\icacl.exe
2017-07-18 16:21 - 2017-07-18 16:49 - 00000000 ____D C:\Users\Ser\AppData\Local\indexer
2017-07-18 16:15 - 2017-07-20 21:32 - 00000000 ____D C:\Users\Ser\AppData\Roaming\curl
2017-07-18 16:15 - 2017-07-18 16:36 - 00003782 __RSH C:\WINDOWS\System32\Tasks\curl
2017-07-18 16:15 - 2017-07-18 16:36 - 00003580 __RSH C:\WINDOWS\System32\Tasks\curls
2017-07-18 16:15 - 2017-07-18 16:36 - 00003552 __RSH C:\WINDOWS\System32\Tasks\MSI
2017-07-12 09:31 - 2017-07-12 09:32 - 00002272 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (Ser)
Task: {49FBA0DC-11F4-48FB-A540-208C4C59432C} - System32\Tasks\Driver Booster SkipUAC (Ser) => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe
Task: {79801FB5-63CB-4EBB-902B-6D20B12ADF15} - \2C6A44CB-AD42-4731-A544-3FBD3D83AB5B -> No File <==== ATTENTION
Task: {9481530E-8DEA-4A27-9C6C-F0751BAA80DA} - System32\Tasks\curl => C:\Users\Ser\AppData\Roaming\curl\curl_7_54.exe <==== ATTENTION
Task: {9D7269B6-D05E-4065-8BD4-C32F7FE587C1} - System32\Tasks\curls => C:\Users\Ser\AppData\Roaming\curl\curl.exe <==== ATTENTION
Task: {B4F9DB6A-2C9C-44DD-8027-CDA76B6D86CC} - System32\Tasks\MSI => C:\Users\Ser\AppData\Roaming\Microsoft\msi.exe
Task: {E8E95F09-D90F-478D-9AD2-409C86A5B62B} - System32\Tasks\WindowsCleaner => wincleaner [Argument = s]
Task: C:\WINDOWS\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job => C:\Program Files (x86)\YiuAskU\ED4avar.dll <==== ATTENTION
FirewallRules: [{621FC142-92F1-4DAA-8228-BE7E35908AD7}] => (Allow) C:\Users\Ser\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{1C3B2715-44E4-459E-8975-3AD01DB87653}] => (Allow) C:\Users\Ser\AppData\Local\MediaGet2\mediaget.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Вручную удалите расширения Chrome

Блокировщик Рекламы Для Ютуба™

Сообщите что с проблемой.

@vgkseul26 · 24.07.2017, 11:00 **[ТС]**

Можно уточнить как использовать вышеприведенный код? Т.к. не совсем понятно куда его нужно вставить

@Sandor · 24.07.2017, 13:02

Вставлять никуда не нужно, только скопировать и нажать Fix. Делайте то, что написано.

@vgkseul26 · 24.07.2017, 23:22 **[ТС]**

Сделал. Вроде больше не всплывают, большое спасибо!

@Sandor · 25.07.2017, 09:15

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@vgkseul26 · 26.07.2017, 00:47 **[ТС]**

Готово. Правда Unity Web Player удалить не смог из панели управления, не найден uninstall.exe

@Sandor · 26.07.2017, 09:54

-------------------------------- [ Java ] ---------------------------------
Java 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u141-windows-x64.exe)^
Java SE Development Kit 8 Update 112 (64-bit) v.8.0.1120.15 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u141-windows-x64.exe)^

Сообщение от vgkseul26

не смог из панели управления, не найден uninstall.exe

Удалите принудительно через Revo Uninstall.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,824
	19.07.2017, 09:38
	Здравствуйте! Начните с логов по правилам: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,824
	21.07.2017, 08:50
	Сделайте свежие логи: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@vgkseul26 0 / 0 / 0 Регистрация: 18.07.2017 Сообщений: 7
	24.07.2017, 11:00 [ТС]
	Можно уточнить как использовать вышеприведенный код? Т.к. не совсем понятно куда его нужно вставить 0

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,824
	24.07.2017, 13:02
	Вставлять никуда не нужно, только скопировать и нажать Fix. Делайте то, что написано. 0

@Sandor 22458 / 15912 / 3080 Регистрация: 08.10.2012 Сообщений: 64,824
	25.07.2017, 09:15
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0