Подмена рекламы в Firefox

@romikov · Регистрация: 11.09.2017

Author24 — интернет-сервис помощи студентам

Добрый день.
Может быть сможете помочь.
На прошлой неделе, видимо, подцепил какую-то заразу, которая мучает мой комп. В мозилле заменяются все рекламные объявления на всякую непотребщину, помимо этого поменялась программа по умолчанию для zip файлов на какой-то hamster....
Искал кучей всяких утилит, что-то как будто нашел, но реклама осталась.
В IE вроде не подменяется, хрома нет.
Заранее благодарен.

@Sandor · 11.09.2017, 13:03

Здравствуйте!

Дополнительно подготовьте и прикрепите лог сканирования AdwCleaner.

@romikov · 11.09.2017, 13:07 **[ТС]**

Сделал

@Sandor · 11.09.2017, 13:11

Внимание! Рекомендации написаны специально для пользователя romikov. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@romikov · 11.09.2017, 13:22 **[ТС]**

Выполнил

@Sandor · 11.09.2017, 13:29

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
FF user.js: detected! => C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\4btw8t16.default\user.js [2017-09-07]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\4btw8t16.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\4btw8t16.default -> Поиск@Mail.Ru
FF Extension: (No Name) - C:\Users\Admin\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-09-07] [not signed]
FF Extension: (No Name) - C:\Users\Admin\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2017-09-07] [not signed]
FF Extension: (supermegabest) - C:\Users\Admin\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23]
FF Extension: (No Name) - C:\Users\Admin\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-09-07] [not signed]
FF Extension: (No Name) - C:\Users\Admin\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2017-09-07] [not signed]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {13ADF102-2D5A-41BC-B2EF-781577527C3F} - System32\Tasks\Uninstaller_SkipUac_Admin => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {666C95DB-239C-495E-AF8D-D28056D0843A} - System32\Tasks\ASC8_SkipUac_Admin => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe
Task: {EA3DADF8-64B3-43DD-89D1-F80A73264684} - System32\Tasks\{5762D823-3491-46E4-B14B-2D449985BBAC} => C:\Windows\system32\pcalua.exe -a C:\Users\Admin\AppData\Local\Temp\Temp1_R220849.zip\Setup.exe <==== ATTENTION
AlternateDataStreams: C:\Windows:AstInfo [0]
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
MSCONFIG\startupreg: amigo => C:\Users\Admin\AppData\Local\Amigo\Application\amigo.exe --no-startup-window
MSCONFIG\startupreg: mailruhomesearch => "C:\Users\Admin\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred
MSCONFIG\startupreg: MailRuUpdater => C:\Users\Admin\AppData\Local\Mail.Ru\MailRuUpdater.exe
MSCONFIG\startupreg: ZetaGamesNews => C:\Users\Admin\AppData\Local\ZetaGamesNews\zeta.exe
MSCONFIG\startupreg: ZetaGamesViewer => C:\Users\Admin\AppData\Local\ZetaGamesViewer\zetaviewer.exe --show-hidden
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Сообщите что с проблемой.

@romikov · 11.09.2017, 13:42 **[ТС]**

Код надо было вставить в окошко FRST, после этого фиксить?
Посмотрите лог.
Реклама подменяется по-прежнему.

@Sandor · 11.09.2017, 13:48

Сообщение от romikov

вставить в окошко FRST, после этого фиксить?

Нет, Вы все сделали правильно.

Отключите в FireFox все расширения (дополнения), в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

@romikov · 11.09.2017, 13:58 **[ТС]**

Расширений нет, был какой-то шоквейв в плагинах, но я и их поотключал.

@Sandor · 11.09.2017, 14:12

Сделайте Сброс настроек FireFox.

Не поможет, сохраните нужные закладки, переустановите браузер и сообщите результат.

@romikov · 11.09.2017, 15:23 **[ТС]**

Настройки сбросил, протестировал, реклама не подменяется.
Спасибо.

@Sandor · 11.09.2017, 15:32

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@romikov · 11.09.2017, 15:58 **[ТС]**

Выполнено.

@Sandor · 11.09.2017, 15:59

--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления
TeamViewer 12 v.12.0.75813 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitComet 1.23 v.1.23 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u144-windows-x64.exe)^
Java 8 Update 121 v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u144-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.24.0.0.180 Внимание! Скачать обновления
Adobe Flash Player 24 ActiveX v.24.0.0.194 Внимание! Скачать обновления
Adobe Flash Player 25 NPAPI v.25.0.0.127 Внимание! Скачать обновления
Adobe Acrobat 9.5.3 - CPSID_83708 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat DC.
------------------------------- [ Browser ] -------------------------------
Opera 12.16 v.12.16.1860 Внимание! Скачать обновления
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird 45.5.1 (x86 ru) v.45.5.1 Внимание! Скачать обновления
The Bat! v4.2.36.4 Русская Версия v.4.2.36.4 Внимание! Скачать обновления

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@romikov · 11.09.2017, 16:02 **[ТС]**

Спасибо!

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	11.09.2017, 13:03	2
	Здравствуйте! Дополнительно подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	11.09.2017, 13:11	4
	Внимание! Рекомендации написаны специально для пользователя romikov. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	11.09.2017, 13:48	8
	Сообщение от romikov вставить в окошко FRST, после этого фиксить? Нет, Вы все сделали правильно. Отключите в FireFox все расширения (дополнения), в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите. 0

@romikov 0 / 0 / 0 Регистрация: 11.09.2017 Сообщений: 8
	11.09.2017, 13:58 [ТС]	9
	Расширений нет, был какой-то шоквейв в плагинах, но я и их поотключал. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	11.09.2017, 14:12	10
	Сделайте Сброс настроек FireFox. Не поможет, сохраните нужные закладки, переустановите браузер и сообщите результат. 0

@romikov 0 / 0 / 0 Регистрация: 11.09.2017 Сообщений: 8
	11.09.2017, 15:23 [ТС]	11
	Настройки сбросил, протестировал, реклама не подменяется. Спасибо. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	11.09.2017, 15:32	12
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	11.09.2017, 15:59	14
	--------------------------- [ OtherUtilities ] ---------------------------- WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления TeamViewer 12 v.12.0.75813 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- BitComet 1.23 v.1.23 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u144-windows-x64.exe)^ Java 8 Update 121 v.8.0.1210.13 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u144-windows-i586.exe)^ --------------------------- [ AppleProduction ] --------------------------- QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО. --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.24.0.0.180 Внимание! Скачать обновления Adobe Flash Player 24 ActiveX v.24.0.0.194 Внимание! Скачать обновления Adobe Flash Player 25 NPAPI v.25.0.0.127 Внимание! Скачать обновления Adobe Acrobat 9.5.3 - CPSID_83708 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat DC. ------------------------------- [ Browser ] ------------------------------- Opera 12.16 v.12.16.1860 Внимание! Скачать обновления ----------------------------- [ EmailClient ] ----------------------------- Mozilla Thunderbird 45.5.1 (x86 ru) v.45.5.1 Внимание! Скачать обновления The Bat! v4.2.36.4 Русская Версия v.4.2.36.4 Внимание! Скачать обновления Прочтите и выполните Рекомендации после удаления вредоносного ПО 0

@romikov 0 / 0 / 0 Регистрация: 11.09.2017 Сообщений: 8
	11.09.2017, 16:02 [ТС]	15
	Спасибо! 0