Решена самопроизвольное открытие веб браузером рекламмы

Статус
В этой теме нельзя размещать новые ответы.

anatolij20

Новый пользователь
Сообщения
12
Реакции
0
веб браузер самропроизвольно через какое то время открывает сайты покер, казино и так далее даже когда веб браузер не запущен, а когда открыт то намного чаще
 
загрузил файл с логами
 

Вложения

  • CollectionLog-2017.05.17-09.25.zip
    172.3 KB · Просмотры: 4
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
uBar
Ultimate-Discounter Browser
Unity Web Player
Амиго
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\TEMP\clearcache.dll', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 DeleteFile('C:\Windows\TEMP\clearcache.dll', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Для повторной диагностики запустите снова AutoLogger.
 
делаю все по Вашей инструкции
вот лог повторного сканирования
 

Вложения

  • ClearLNK-18.05.2017_11-42.log
    4.2 KB · Просмотры: 1
  • CollectionLog-2017.05.18-12.05.zip
    185.2 KB · Просмотры: 2
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
найдено 53 угрозы, но я ничего не удалял
 

Вложения

  • AdwCleaner[S0].txt
    6.4 KB · Просмотры: 2
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
извините пожалуйста с понедельника продолжу следовать Вашим инструкциям (сейчас не имею возможности)
 
1. AdwCleaner
2. Farbar Recovery Scan Tool
 

Вложения

  • AdwCleaner[S1].txt
    7.8 KB · Просмотры: 0
  • AdwCleaner[C0].txt
    8.4 KB · Просмотры: 1
  • Addition.txt
    34.5 KB · Просмотры: 2
  • FRST.txt
    28.8 KB · Просмотры: 2
  • Shortcut.txt
    82.8 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FF Homepage: Mozilla\Firefox\Profiles\zr5c8fkw.USER-ПК -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=811040
    FF Keyword.URL: Mozilla\Firefox\Profiles\zr5c8fkw.USER-ПК -> hxxp://go.mail.ru/distib/ep/?product_id=%7BE4AED493-E232-4014-A4D3-54A39FA42081%7D&gp=811041
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\zr5c8fkw.USER-ПК\Extensions\homepage@mail.ru [2017-03-05]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\zr5c8fkw.USER-ПК\Extensions\search@mail.ru [2017-03-05]
    FF Extension: (The Safe Surfing) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\zr5c8fkw.USER-ПК\Extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2017-03-18] [not signed]
    FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\zr5c8fkw.USER-ПК\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-03-05]
    OPR Extension: (The Safe Surfing) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2017-03-18]
    2017-03-24 17:17 - 2017-03-24 17:17 - 0000757 _____ () C:\Users\User\AppData\Local\uBar.lnk
    Task: {02BB1185-8B9A-4A82-9204-DDAC6473F648} - System32\Tasks\{8739E624-F887-40D1-955C-F8F6DAF5D488} => c:\users\user\appdata\local\amigo\application\amigo.exe 
    Task: {98370841-3834-4064-991F-E80FD8F879E5} - System32\Tasks\{8212254A-DA4E-4BEF-A990-32312805D38C} => c:\users\user\appdata\local\amigo\application\amigo.exe 
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Сообщите что с проблемой.
 
высылаю лог файл
 

Вложения

  • Fixlog.txt
    4.7 KB · Просмотры: 1
Что сейчас с проблемой?
 
Большое спасибо за потраченное время!
значит с проблемой
до того как мы начали заниматься реклама выскакивала где то один раз в час если браузер запущен но свернут намного чаще
после того как мы начали заниматься рекламы стало намного меньше
вчера например в течении рабочего дня не было вообще рекламы (я уже подумал что все избавился от рекламы), но когда я пришел домой она появилась опять как и до процедуры лечения, только другого ракурса
сейчас реклама розетки, а до этого был футбол, покер
особо я нигде не лазил, только по работе (юрист)
жду Вашего совета (а так мне посоветали не морочить голову и переставить виндовс, но это крайний вариант, к нему не хотелось бы прибегать)
 
реклама появляется в опере
что значит проверить интернет експлорер я не понял
я вчера вечером вспоминал когда появилась реклама
она появилась где то в декабре
в декабре я смотрел часто ютуб и установил Spider Solitaire
я удалил через панель управления этого спайдера, яндекс и все его компоненты, а также лигу закон (юрид прог сейчас я ей не пользуюсь)
может после удаления надо выполнить какие то скрипты?
может повторно с самого начала нашего общения позапускать все скрипты от авз и до конца?
забыл написать также удалил через панель управления энциклопедию пасьянса
вообщем большое спасибо за Ваше потраченное время
жду продолжения лечения
выполнить Ваши советы смогу с понедельника (ноут предприятия)
 
что значит проверить интернет експлорер я не понял
Это значит - запустить Internet Explorer, походить в нем по нескольким страницам и последить, не появляется ли реклама также, как это происходит в Опере. Результат сообщите.
 
полтора часа путешествовал по интернету интернет експлорером (смотрел новости погоду) рекламмы не было
а вообще она появляется в опере
бывает целый день нету, а потом несколько раз появится(загружается новая вкладка)
но после Вашего лечения намного реже
 
Отключите в Опере все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.
 
извините что не выходил по работе послали в командировку
отключил в опере все расширения их три
1. BankID CryptoPlugin (это приватбанк ключи)
2. The Safe Surfing
3. Стикеры для социальных сетей
после этого реклама пропала и два дня не было
 
Второе удалите.

В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу