Установилось рекламное ПО

@GTR111 · Регистрация: 26.11.2017

Author24 — интернет-сервис помощи студентам

28.02.2018 после 20:00 установилось рекламное ПО, лезет со всех дыр: в браузере реклама, ноутбук загружен при простое, изменилось меню "Пуск", установилась левая боковая панель, браузер "Комета", и даже страница справки "Майкрософт"открывается в браузере. Часть поудалял, но каждый раз что-то новое появляется.

@Sandor · 01.03.2018, 10:39

Здравствуйте!

На этот раз постарайтесь не бросать тему, а довести ее до конца.

Внимание! Рекомендации написаны специально для пользователя GTR111. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 QuarantineFile('C:\Users\GTR\AppData\Local\yc\Application\yc.exe', '');
 QuarantineFile('c:\windows\microsoft\svchost.exe', '');
 DeleteFile('C:\Users\GTR\AppData\Local\yc\Application\yc.exe', '32');
 DeleteFile('C:\Users\GTR\Favorites\Links\Интернет.url');
 DeleteFile('c:\windows\microsoft\svchost.exe', '32');
 DeleteService('SvcHost Service Host');
 DeleteFileMask('c:\users\gtr\appdata\local\yc', '*', true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cmylnvymvo');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_16035B41AA4A15E04A307321CC2E0D01');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@GTR111 · 01.03.2018, 13:06 **[ТС]**

Спасибо, файл карантина отправил.
В скрипте не было вот этого файла: C:\Windows\System32\drivers\xmarin.sys, он до сих пор находится на диске, и я не могу удалить его.
После выполнения скрипта и перезагрузки в браузере выскакивает реклама Париматч.
Заранее спасибо.

@Sandor · 01.03.2018, 13:29

Сообщение от GTR111

до сих пор находится на диске, и я не могу удалить его

Почему Вы решили, что его нужно удалить?

Подготовьте и прикрепите лог сканирования AdwCleaner.

@GTR111 · 01.03.2018, 13:44 **[ТС]**

Сообщение от Sandor

Почему Вы решили, что его нужно удалить?

Потому что он очень злой и мне не нравится, а еще он установился во время установки основной угрозы, и о нем уже шла речь на данном форуме, как о страшном злодее.
АдвКлинером я прошелся еще до обращения на форум, внайденные угрозы удалил. Логи прикрепляю в хронологическом порядке сканирования.

@Sandor · 01.03.2018, 13:46

Сообщение от GTR111

о нем уже шла речь на данном форуме

Ссылку на тему можете показать?

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@GTR111 · 01.03.2018, 14:08 **[ТС]**

Ссылка: https://www.cyberforum.ru/post10409847.html
Заметил, что когда загружаю файлы через форму на форум, во момент нажатия на кнопку "Выбрать файл" - выскакивает всплывающее окно с рекламой (два раза было с Фаворитом, один раз с Розеткой)

@Sandor · 01.03.2018, 14:23

То, что написано для другого, не обязательно подойдет к Вашему случаю.
Впрочем, попробуем удалить.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-848045741-1674209829-442916704-1001\...\Run: [KometaAutoLaunch_BBD7EA2C9DEA805DFA7DBD0C93785A52] => "C:\Users\GTR\AppData\Local\Kometa\Application\kometa.exe" --no-startup-window /prefetch:5
GroupPolicy: Restriction - Chrome <==== ATTENTION
SearchScopes: HKU\S-1-5-21-848045741-1674209829-442916704-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
R1 netfilter2; C:\WINDOWS\system32\drivers\xmarin.sys [55080 2018-02-28] (Windows (R) Win 7 DDK provider) [File not signed]
2018-02-28 20:15 - 2018-02-28 20:15 - 000055080 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\xmarin.sys
FirewallRules: [{9F27CCC2-37BC-4749-892B-A4F1E79C615D}] => (Allow) C:\Users\GTR\AppData\Local\yc\Application\yc.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@GTR111 · 01.03.2018, 14:48 **[ТС]**

Пофиксил, но проблемы всё-равно остались. Для себя принял решение переустановить винду с форматированием. Это будет расплата за жажду халявного ПО ))
Вам спасибо за помощь!

@Sandor · 01.03.2018, 14:53

В следующий раз, пожалуйста, прежде, чем создавать тему, сначала решите - будет ли переустановка.
Не тратьте напрасно наше время. Закрыто.

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	01.03.2018, 10:39	2
	Здравствуйте! На этот раз постарайтесь не бросать тему, а довести ее до конца. Внимание! Рекомендации написаны специально для пользователя GTR111. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\microsoft\svchost.exe'); QuarantineFile('C:\Users\GTR\AppData\Local\yc\Application\yc.exe', ''); QuarantineFile('c:\windows\microsoft\svchost.exe', ''); DeleteFile('C:\Users\GTR\AppData\Local\yc\Application\yc.exe', '32'); DeleteFile('C:\Users\GTR\Favorites\Links\Интернет.url'); DeleteFile('c:\windows\microsoft\svchost.exe', '32'); DeleteService('SvcHost Service Host'); DeleteFileMask('c:\users\gtr\appdata\local\yc', '', true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'cmylnvymvo'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_16035B41AA4A15E04A307321CC2E0D01'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(21); ExecuteFile('ipconfig', '/flushdns', 0, 10000, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip* из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. 1

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	01.03.2018, 13:29	4
	Сообщение от GTR111 до сих пор находится на диске, и я не могу удалить его Почему Вы решили, что его нужно удалить? Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	01.03.2018, 13:46	6
	Сообщение от GTR111 о нем уже шла речь на данном форуме Ссылку на тему можете показать? Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	01.03.2018, 14:23	8
	Сообщение было отмечено GTR111 как решение Решение То, что написано для другого, не обязательно подойдет к Вашему случаю. Впрочем, попробуем удалить. Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-848045741-1674209829-442916704-1001\...\Run: [KometaAutoLaunch_BBD7EA2C9DEA805DFA7DBD0C93785A52] => "C:\Users\GTR\AppData\Local\Kometa\Application\kometa.exe" --no-startup-window /prefetch:5 GroupPolicy: Restriction - Chrome <==== ATTENTION SearchScopes: HKU\S-1-5-21-848045741-1674209829-442916704-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms} R1 netfilter2; C:\WINDOWS\system32\drivers\xmarin.sys [55080 2018-02-28] (Windows (R) Win 7 DDK provider) [File not signed] 2018-02-28 20:15 - 2018-02-28 20:15 - 000055080 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\xmarin.sys FirewallRules: [{9F27CCC2-37BC-4749-892B-A4F1E79C615D}] => (Allow) C:\Users\GTR\AppData\Local\yc\Application\yc.exe EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 1

@GTR111 0 / 0 / 0 Регистрация: 26.11.2017 Сообщений: 7
	01.03.2018, 14:48 [ТС]	9
	Пофиксил, но проблемы всё-равно остались. Для себя принял решение переустановить винду с форматированием. Это будет расплата за жажду халявного ПО )) Вам спасибо за помощь! 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	01.03.2018, 14:53	10
	В следующий раз, пожалуйста, прежде, чем создавать тему, сначала решите - будет ли переустановка. Не тратьте напрасно наше время. Закрыто. 0

Установилось рекламное ПО

Решение