Решена Реклама в браузерах

Статус
В этой теме нельзя размещать новые ответы.

Илена

Участник
Сообщения
98
Реакции
9
Добрый вечер))) нужна помощь, куча рекламы в браузерах((
лог прилагаю.....
 

Вложения

  • CollectionLog-2014.11.12-21.46.zip
    357.1 KB · Просмотры: 7
1) Удалите через установку и удаление программ: mystartsearch uninstall, iWebar, а также если не нужен Html5 geolocation provider.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

- выполните такой скрипт в AVZ
Код:
begin
ClearQuarantine;
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk','');
QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk','');
QuarantineFile('C:\Users\Mother\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk','');
QuarantineFile('C:\Users\Mother\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\790a9b09c70e855d\Google Chrome.lnk','');
QuarantineFile('C:\Users\Mother\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
QuarantineFile('C:\Users\Mother\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk','');
QuarantineFile('C:\Users\Mother\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru Агент.lnk','');
QuarantineFile('C:\Users\Mother\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk','');
QuarantineFile('C:\Users\Mother\AppData\Roaming\Microsoft\Windows\Start Menu\Mail.Ru Агент.lnk','');
QuarantineFile('C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Удалить Google Chrome.lnk','');
QuarantineFile('C:\Users\Mother\AppData\Roaming\Знакомства.lnk','');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Prime World.lnk','');
QuarantineFile('C:\Users\Mother\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Plarium\Game - Total Domination.lnk','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\Mother\AppData\Local\Yandex\YandexBrowser\Application\browser.exe.bat','');
QuarantineFile('C:\Games\Prime World\PWLauncher.exe.bat','');
QuarantineFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','');
QuarantineFile('C:\Users\Mother\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\Mobogenie.url','');
DeleteFile('C:\Users\Mother\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\Mobogenie.url','');
DeleteFile('C:\iexplore.bat','');
DeleteFile('C:\Users\Mother\AppData\Local\Yandex\YandexBrowser\Application\browser.exe.bat','');
DeleteFile('C:\Games\Prime World\PWLauncher.exe.bat','');
DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','');
ExecuteRepair(3);
ExecuteRepair(4);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\790a9b09c70e855d\Google Chrome.lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru Агент.lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Windows\Start Menu\Mail.Ru Агент.lnk
C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Удалить Google Chrome.lnk
C:\Users\Mother\AppData\Roaming\Знакомства.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Prime World.lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Plarium\Game - Total Domination.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\baidu\baidu.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Speed Up\PC Speed Up.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Speed Up\Деинсталлировать PC Speed Up.lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Kinoroom Browser.lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader\YTDownloader.lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\storegid\storegid.lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\storegid\Uninstall.lnk
C:\Users\Mother\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage\Configure.lnk
C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Kinoroom Browser.lnk
+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
mystartsearch uninstall, iWebar - не удаляются. первая программа пишет что-то по китайски и все. вторая при удалении просто молчит.

остальное все сделала, логи прилагаются....
 

Вложения

  • AdwCleaner[R21].txt
    17.5 KB · Просмотры: 3
  • ClearLNK-12.11.2014_22-53.log
    7.8 KB · Просмотры: 4
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

и это тоже сделайте
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
 
C:\AdwCleaner - нет вообще, через поиск пробовала, нет нашлось(((

-

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift
не поняла...... можно подробнее???

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: - это я сделала и отправила на странице))))
 
C:\AdwCleaner - нет вообще, через поиск пробовала, нет нашлось(((
что значит нету? Вы же в предыдущем посте мне его лог прикладывали.
не поняла...... можно подробнее???
вы это уже делали когда логи делали для создания темы (см. правила раздела). Просто теперь в первом окно нажмите Shift и так нажимайте Ок, там будет об этом подсказка.
 
пришлось еще раз устанавливать и сканировать, папка появилась....
все логи прилагаю)
 

Вложения

  • CollectionLog-2014.11.13-01.05.zip
    45.9 KB · Просмотры: 4
  • AdwCleaner[S0].txt
    15.6 KB · Просмотры: 2
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('C:\Program Files\Common Files\{21F0E466-68C8-4EFF-A28B-C52CFFDCACEA}\0.8', '');
QuarantineFile('C:\Windows\Fonts\Fap.dll', '');
QuarantineFile('C:\Windows\Fonts\FapCF.dll', '');
QuarantineFile('C:\Windows\Fonts\FapCF2.dll', '');
QuarantineFile('C:\Windows\Fonts\MiniObject.dll', '');
QuarantineFile('C:\Windows\Fonts\SynBozLib.dll', '');
QuarantineFileF('C:\Program Files\Common Files\{21F0E466-68C8-4EFF-A28B-C52CFFDCACEA}\0.8', '*', true, '', 0, 0);
QuarantineFile('C:\Windows\Fonts\FAPCFPACK.EXE', '');
QuarantineFile('C:\Windows\Fonts\iie9T2F6sl3bHjdKcBdlL6uA9N463W.EXE', '');
QuarantineFile('C:\Program Files\YTDownloader\updater.exe', '');
QuarantineFile('C:\Users\Mother\AppData\Roaming\HRFNKVG.exe', '');
QuarantineFile('C:\Users\Mother\AppData\Roaming\TSDI.exe', '');
QuarantineFile('C:\Users\Mother\AppData\Local\Microsoft\Windowssystem.vbs', '');
DeleteFileMask(' C:\Program Files\Common Files\{21F0E466-68C8-4EFF-A28B-C52CFFDCACEA}\0.8 ', '*', true);
DeleteFile('C:\Windows\Tasks\Registry Optimizer_DEFAULT.job', '32');
DeleteFile('C:\Users\Mother\AppData\Roaming\TSDI.exe', '32');
DeleteFile('C:\Windows\Tasks\TSDI.job', '32');
DeleteFile('C:\Users\Mother\AppData\Roaming\HRFNKVG.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\HRFNKVG', '32');
DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility', '32');
DeleteFile('C:\Windows\system32\Tasks\TSDI', '32');
DeleteFile('C:\Windows\system32\Tasks\YTDownloaderUpd', '32');
DeleteFile('C:\Program Files\YTDownloader\updater.exe', '32');
DeleteFile('C:\Users\Mother\AppData\Roaming\Знакомства.lnk');
DeleteFile('C:\Windows\Fonts\FAPCFPACK.EXE', '32');
DeleteFile('C:\Windows\Fonts\iie9T2F6sl3bHjdKcBdlL6uA9N463W.EXE', '32');
DeleteFile('C:\Windows\Fonts\Fap.dll', '32');
DeleteFile('C:\Windows\Fonts\FapCF.dll', '32');
DeleteFile('C:\Windows\Fonts\FapCF2.dll', '32');
DeleteFile('C:\Windows\Fonts\MiniObject.dll', '32');
DeleteFile('C:\Windows\Fonts\SynBozLib.dll', '32');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS
+ пожалуйста, в AVZ выполните стандартный скрипт №9. Полученный лог прикрепите сюда.
 
Добрый вечер)))) все сделала, логи прикрепила, карантин отправила)))

прикрепила еще скрин, это у нас вылазит при открытия гугль хрома)
и еще, поняла, что если закрыть одну рекламу в углу браузера, то с этой страницы попадаем на страницу " https://safezone.cc/#" именно с решеткой
 

Вложения

  • ANDRONOFF_2014-11-13_19-51-09.7z
    456.4 KB · Просмотры: 1
  • KL_syscure.zip
    319.7 KB · Просмотры: 1
  • Безымянный.jpg
    Безымянный.jpg
    48.8 KB · Просмотры: 111
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.84.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v384c
    BREG
    zoo %SystemDrive%\PROGRAM FILES\PDAPP\CSTART.BAT
    dirzooex %SystemDrive%\PROGRAM FILES\PDAPP
    bl 4E45B74DBACB69D2F0A61C165F674623 90
    delall %SystemDrive%\PROGRAM FILES\PDAPP\CSTART.BAT
    delref %SystemDrive%\USERS\MOTHER\APPDATA\LOCAL\SCREENTK\UNINSTALL.EXE
    delref %SystemDrive%\USERS\MOTHER\APPDATA\ROAMING\MYSTARTSEARCH\UNINSTALLMANAGER.EXE
    delref %SystemDrive%\USERS\MOTHER\APPDATA\LOCAL\SCREENTK\SCREENTOOL.EXE
    zoo %SystemDrive%\USERS\MOTHER\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
    delref %SystemDrive%\USERS\MOTHER\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
    dirzoo %SystemDrive%\USERS\MOTHER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DFLTUSER\EXTENSIONS\BDIGKPJBMBDEPGPKJEABFGHLCHDMPHKE\3.2_0
    delref %SystemDrive%\USERS\MOTHER\APPDATA\ROAMING\HRFNKVG.EXE
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.542\BAIDUPROTECT.EXE
    zoo %SystemDrive%\USERS\МАКСИМ\DESKTOP\89514551820\CS1.6REALEDITION2011.EXE
    bl 52CE66834117591A8C5DD48B5956C4A9 429376573
    delall %SystemDrive%\USERS\МАКСИМ\DESKTOP\89514551820\CS1.6REALEDITION2011.EXE
    uidel C:\Users\Mother\AppData\Roaming\mystartsearch\UninstallManager.exe -ptid=amt
    uidel MsiExec.exe /I{D492942E-9368-48D9-BB8B-68E8E4CE2D43}
    uidel MsiExec.exe /I{71D05F96-6AF4-4961-9E9C-AE4B8C9793E9}
    ; Java(TM) 6 Update 38
    exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216038FF} /quiet
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.
На вопрос об удаление программы соглашайтесь. Скрипт удалит старую (уязвимую) версию Java.

сделайте новый образ автозапуска.
 
сделала))
 

Вложения

  • ANDRONOFF_2014-11-13_22-56-11.7z
    449.1 KB · Просмотры: 2
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\Run: [SystemScript] "C:\Users\Mother\AppData\Local\Microsoft\Windowssystem.vbs"

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

заодно отпишитесь, что там с рекламой?

+ посмотрите, что находится в папке
Код:
C:\Program Files\Common Files\{21F0E466-68C8-4EFF-A28B-C52CFFDCACEA}
 
Последнее редактирование:
Вечер добрый)))
Рекламы нет! Спасибо!! Сохраняется ошибка при запуске гугля (скрин выше).

лог прилагаю. и скрин, что внутри папки))))
 

Вложения

  • CollectionLog-2014.11.14-22.16.zip
    42.1 KB · Просмотры: 1
  • в папке.jpg
    в папке.jpg
    24 KB · Просмотры: 92
  • в папке2.jpg
    в папке2.jpg
    28.7 KB · Просмотры: 91
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
StopService('BDMNetMon');
StopService('bd0002');
StopService('BDSafeBrowser');
StopService('bd0004');
StopService('bd0003');
StopService('bd0001');
DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys', '32');
DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys', '32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys', '32');
DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe', '32');
DeleteFile('C:\Windows\Tasks\HRFNKVG.job', '32');
DeleteFile('C:\Windows\Tasks\Registry Optimizer_UPDATES.job', '32');
DeleteFile('C:\Windows\system32\Tasks\Registry Optimizer_UPDATES', '32');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\kbrowser-updater-utility.lnk');
DeleteFile('C:\Users\Mother\AppData\Roaming\HRFNKVG.exe', '32');
DeleteService('BDMNetMon');
DeleteService('bd0002');
DeleteService('BDSafeBrowser');
DeleteService('bd0004');
DeleteService('bd0003');
DeleteService('bd0001');
DeleteFileMask('C:\Program Files\Common Files\{21F0E466-68C8-4EFF-A28B-C52CFFDCACEA}', '*', true);
DeleteDirectory('C:\Program Files\Common Files\{21F0E466-68C8-4EFF-A28B-C52CFFDCACEA}');
DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}');
DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
DelBHO('{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

исправьте ярлыки
Код:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
по этой иструкции. Ошибка в Хроме из-за этих ярлыков.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу