Решена opera открывает страницы с рекламой

Статус
В этой теме нельзя размещать новые ответы.

crisord

Новый пользователь
Сообщения
20
Реакции
0
В Опере открываются рекламные рекламные вкладки и самопроизвольно открываются страницы с рекламой. Случайно запустил , что то с установщиком софта. Log https://yadi.sk/d/mL2V0CmQ3AFFWR
 
Все логи, кроме карантина выкладывайте сюда, кнопка - Загрузить файл, находится под сообщением.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\crisord\appdata\local\mail.ru\gamecenter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\crisord\appdata\local\svshost', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\crisord\appdata\local\temp\878.tmp.exe', '');
 QuarantineFile('c:\users\crisord\appdata\local\temp\e.exe', '');
 QuarantineFile('C:\Users\crisord\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe', '');
 QuarantineFile('C:\Users\crisord\AppData\Local\svshost\svshost.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "wd-client" /F', 0, 15000, true);
 DeleteFile('c:\users\crisord\appdata\local\temp\878.tmp.exe', '32');
 DeleteFile('c:\users\crisord\appdata\local\temp\e.exe', '32');
 DeleteFile('C:\Users\crisord\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe', '32');
 DeleteFile('C:\Users\crisord\AppData\Local\svshost\svshost.exe', '32');
 DeleteFileMask('c:\users\crisord\appdata\local\mail.ru\gamecenter', '*', true);
 DeleteFileMask('c:\users\crisord\appdata\local\svshost', '*', true);
 DeleteDirectory('c:\users\crisord\appdata\local\mail.ru\gamecenter');
 DeleteDirectory('c:\users\crisord\appdata\local\svshost');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dsfabzvime');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','xdcummcgjo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GameCenterMailRu','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте лог AdwCleaner.

Подготовьте новый CollectionLog.
 
Извините на ваш ресурс не могу ничего загрузить выдаёт ошибку...
Какую ошибку?
Нету там ни какого лога. Проверьте ссылку.
+
Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.
 
Последнее редактирование:
Имя файла не совпадает с требуемым....
 
Screenshot_1.jpg
 
Спасибо за понимание( вроде разобрался...))
 

Вложения

  • CollectionLog-2017.01.23-18.33.zip
    85.5 KB · Просмотры: 8
вот
 

Вложения

  • AdwCleaner[S1].txt
    3.1 KB · Просмотры: 1
Вот
Вот логи Farbar Recovery Scan Tool
 

Вложения

  • AdwCleaner[S9].txt
    2.9 KB · Просмотры: 2
  • Addition.txt
    77.6 KB · Просмотры: 3
  • FRST.txt
    73 KB · Просмотры: 5
  • Shortcut.txt
    163.3 KB · Просмотры: 0
Выполните скрипт в Farbar Recovery Scan Tool
Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
Код:
start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:054B9966 [126]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:054B9966 [126]
MSCONFIG\startupreg: gmsd_us_220 => "C:\Program Files (x86)\gmsd_us_220\gmsd_us_220.exe"
MSCONFIG\startupreg: foryougain => "C:\Users\crisord\AppData\Local\foryougain\stub.exe" /run "C:\Users\crisord\AppData\Local\foryougain\config.json"
MSCONFIG\startupreg: GameCenterMailRu =>
GroupPolicy: Restriction - Windows Defender <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR DefaultSearchURL: Default -> hxxp://go-search.ru/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> GoSearch
CHR DefaultSuggestURL: Default -> hxxp://suggest.yandex.net/suggest-ff.cgi?part={searchTerms}
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (SearchWay) - C:\Users\crisord\AppData\Roaming\Opera Software\Opera Stable\Extensions\fgldnknlljnfcfgchdijbjmmkdkmnabn [2017-01-22]
2017-01-22 16:13 - 2017-01-23 17:28 - 00000000 ____D C:\Users\crisord\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
EmptyTemp:
Reboot:
end
+
Почистите кэш и куки в браузерах.

Что с проблемой?
 
После выполнения скрипта в AVZ прпала , после последнего выполнения скрипта и перезагрузке всё по новой.....
Да и не плохо было бы предупредить, что все активации полетят...
 

Вложения

  • Fixlog.txt
    5.8 KB · Просмотры: 1
Да и не плохо было бы предупредить, что все активации полетят...
Странно. Мы активации ваши не трогали. В какой момент они слетели?
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу