Решена Баннеры и реклама в интернет браузерах

fikser

Новый пользователь
Сообщения
8
Реакции
1
В интернет браузерах появилась реклама после разархивирования подозрительного файла. Баннеры на разных сайтах ( ютуб, вк), так же при нажатии на ссылки на этих же сайтах открывается отдельное окно с рекламой.
 

Вложения

  • CollectionLog-2016.12.21-22.35.zip
    102.4 KB · Просмотры: 9
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\WINDOWS\TEMP\clearcache.dll', '');
 QuarantineFile('C:\Users\alexsander\AppData\Roaming\nssm.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetBC" /F', 0, 15000, true);
 DeleteFile('C:\WINDOWS\TEMP\clearcache.dll', '32');
 DeleteFile('C:\Users\alexsander\AppData\Roaming\nssm.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков.

Подготовьте лог AdwCleaner.
 
Log ClearLNK
 

Вложения

  • ClearLNK-22.12.2016_14-47.log
    3 KB · Просмотры: 1
Выкладывать нужно все запрашиваемые логи.
Что с проблемой?
 
Вот отчёт adwcleaner , проблема сохраняется.
 

Вложения

  • AdwCleaner[S3].txt
    3.4 KB · Просмотры: 3
AdwCleaner после чистки + Farbar Recovery Scan Tool
 

Вложения

  • AdwCleaner[S7].txt
    2.4 KB · Просмотры: 2
  • Shortcut.txt
    91.2 KB · Просмотры: 0
  • FRST.txt
    124.6 KB · Просмотры: 2
  • Addition.txt
    65.2 KB · Просмотры: 1
Выполните скрипт в Farbar Recovery Scan Tool
Код:
start
CreateRestorePoint:
Task: {1894F9E1-E9BD-41DE-B9B6-A7CE1496A0C3} - \WPD\SqmUpload_S-1-5-21-1912911218-1523856491-72538840-1001 -> No File <==== ATTENTION
Task: {1BCD7742-5D7A-41B2-AF5E-82704E3A4981} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {3C89B44C-230A-4A7D-9B36-BA11BA4F51BC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {4DB5E84D-31E7-495A-9645-25035AE5C8A7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {7269E527-5327-436D-B3DC-999F58D91B85} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {A13AE2AB-7669-4DFF-8D1D-09E91662D093} - \Language PC Manager -> No File <==== ATTENTION
Task: {CF1E015E-E98E-4DFE-81FE-8C38C990B37B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\alexsander:Heroes & Generals [38]
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1912911218-1523856491-72538840-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1912911218-1523856491-72538840-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1912911218-1523856491-72538840-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=F399DBC6734811E11B1D005EFA152C5E&utm_d=20160928"
CHR Extension: (The Safe Surfing) - C:\Users\alexsander\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-12-12]
OPR Extension: (The Safe Surfing) - C:\Users\alexsander\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-12-12]
EmptyTemp:
Reboot:
end
+
Почистите кэш и куки в браузерах.
 
Сделал скрипт + почистил кэш. Вот и при заходе на форум нужно было авторизироваться. Нажал кнопку "Войти" у меня снова выскочила реклама в отдельном окне
 

Вложения

  • Fixlog.txt
    7.4 KB · Просмотры: 2
В IE не наблюдается данная проблема. В Yandex, Opera, Chrome присутствует.
Лог сделал
 

Вложения

  • Проверка.txt
    2.2 KB · Просмотры: 2
Удалите в Malwarebytes Anti-Malware все найденные объекты.
+
Отключите в этих браузерах все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.
 
Расширение называется Tampermonkey. Было и в ЯБ и в Опере
 
Расширение называется Tampermonkey.
Стандартное расширение. Вы его сами устанавливали? Скрипты юзерские используете? Может проблема была в одном из скриптов в этом расширении?
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
 
Последнее редактирование:
Назад
Сверху Снизу