Выскакивают сайты с рекламой и перекидывает на сайты с играми

@damir1997 · Регистрация: 17.01.2017

Студворк — интернет-сервис помощи студентам

1) перескакивает с сайта на сайт когда нажимаешь на адресную ссылку
2) когда открыт гугл хром, через каждое определенное время кидает на ссылку всяких игр

@Sandor · 26.09.2017, 16:43

Здравствуйте!

Вы ведь не новичок здесь, знаете правила.

@damir1997 · 26.09.2017, 16:58 **[ТС]**

Здравствуйте )), извините забыл прикрепить лог

@Sandor · 27.09.2017, 08:47

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Амиго
Служба автоматического обновления программ

Внимание! Рекомендации написаны специально для пользователя damir1997. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\framework\windows driver.exe');
 TerminateProcessByName('c:\programdata\windowssql\com surrogate.exe');
 QuarantineFile('c:\programdata\framework\windows driver.exe', '');
 QuarantineFile('c:\programdata\windowssql\com surrogate.exe', '');
 QuarantineFile('C:\Users\1\AppData\Local\SystemDir\nethost.exe', '');
 QuarantineFile('C:\Windows\system32\tasks\timeandnewsnettorz', '');
 QuarantineFileF('c:\users\1\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('c:\programdata\framework\windows driver.exe', '32');
 DeleteFile('c:\programdata\windowssql\com surrogate.exe', '32');
 DeleteFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe');
 DeleteFile('C:\Users\1\AppData\Local\SystemDir\nethost.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "timeandnewsnettorz" /F', 0, 15000, true);
 DeleteFileMask('c:\users\1\appdata\local\systemdir', '*', true);
 DeleteDirectory('c:\users\1\appdata\local\systemdir');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'urwnxpmdyi');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@damir1997 · 29.09.2017, 12:47 **[ТС]**

вот логи

@Sandor · 29.09.2017, 12:52

Выделенную красным надпись не заметили?

Сообщение от Sandor

К сообщению прикреплять файл quarantine.zip не нужно!

@damir1997 · 29.09.2017, 13:25 **[ТС]**

торопился

@Sandor · 29.09.2017, 13:27

Жду п.4

@damir1997 · 29.09.2017, 20:11 **[ТС]**

вот логи

@Sandor · 02.10.2017, 08:12

Сообщение от Sandor

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Амиго
Служба автоматического обновления программ

Эти программы по-прежнему в списке установленных. Опять поторопились?

Удалите и подготовьте и прикрепите лог сканирования AdwCleaner.

@damir1997 · 05.10.2017, 14:46 **[ТС]**

вот логи

@Sandor · 05.10.2017, 14:51

1.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Прокси
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@damir1997 · 05.10.2017, 15:25 **[ТС]**

вот отчеты

@Sandor · 05.10.2017, 15:41

Сообщение от Sandor

отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt

Этот забыли.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1337879101-311283268-4107743403-1000\...\Winlogon: [Shell] expstart.exe <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
SearchScopes: HKU\S-1-5-21-1337879101-311283268-4107743403-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2638EF31-8146-484C-B9AF-6A275D76B8B9%7D&gp=811142
SearchScopes: HKU\S-1-5-21-1337879101-311283268-4107743403-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1337879101-311283268-4107743403-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2638EF31-8146-484C-B9AF-6A275D76B8B9%7D&gp=811142
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\oilfw7n9.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\oilfw7n9.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\oilfw7n9.default -> hxxp://mail.ru/cnt/10445?gp=811138
FF Keyword.URL: Mozilla\Firefox\Profiles\oilfw7n9.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7BFD53BCE2-8E6A-47CA-9EA4-C3554BA4B17B%7D&gp=811139
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\oilfw7n9.default\Extensions\homepage@mail.ru [2017-09-22]
FF Extension: (Поиск@Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\oilfw7n9.default\Extensions\search@mail.ru [2017-09-22]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\oilfw7n9.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-09-22]
CHR HomePage: Default -> hxxps://mail.ru/cnt/11956636
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811141"
CHR NewTab: Default ->  Not-active:"chrome-extension://enafhpjmlnpmbdnbpjkihmadnkfnpiim/visual-bookmarks.html"
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@damir1997 · 05.10.2017, 21:01 **[ТС]**

вот лог

@Sandor · 06.10.2017, 09:13

Что с проблемой?

@damir1997 · 06.10.2017, 18:24 **[ТС]**

вроде все )

@Sandor · 07.10.2017, 19:44

Завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@damir1997 · 09.10.2017, 16:39 **[ТС]**

vot

@Sandor · 09.10.2017, 16:41

Лог получился урезанный. Переделайте.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .
SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .

@damir1997 0 / 0 / 0 Регистрация: 17.01.2017 Сообщений: 106

	Выскакивают сайты с рекламой и перекидывает на сайты с играми 26.09.2017, 16:30. Показов 2631. Ответов 21 Метки нет (Все метки) 1) перескакивает с сайта на сайт когда нажимаешь на адресную ссылку 2) когда открыт гугл хром, через каждое определенное время кидает на ссылку всяких игр 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	26.09.2017, 16:43
	Здравствуйте! Вы ведь не новичок здесь, знаете правила. 0

@damir1997 0 / 0 / 0 Регистрация: 17.01.2017 Сообщений: 106
	29.09.2017, 13:25 [ТС]
	торопился 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	29.09.2017, 13:27
	Жду п.4 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	05.10.2017, 14:51
	1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Прокси Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	06.10.2017, 09:13
	Что с проблемой? 0

@damir1997 0 / 0 / 0 Регистрация: 17.01.2017 Сообщений: 106
	06.10.2017, 18:24 [ТС]
	вроде все ) 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	07.10.2017, 19:44
	Завершаем: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	09.10.2017, 16:41
	Лог получился урезанный. Переделайте. 0