Решена Всплывает казино и всякая не приличная реклама

Статус
В этой теме нельзя размещать новые ответы.

Lakad

Новый пользователь
Сообщения
5
Реакции
0
Не удалось самому вылечить систему , ноутбук HP 15-ba523ur Y6J06EA.
Сканировал курелтом, в безопасном режиме не получилось не запускался файл, затем avz и в конце advcleaner - ом.
Кое что то нашлось и удалилось но выше названые окна нет.
Как это вылечить?
 
Не удалось самому вылечить систему , ноутбук HP 15-ba523ur Y6J06EA.
Сканировал курелтом, в безопасном режиме не получилось не запускался файл, затем avz и в конце advcleaner - ом.
Кое что то нашлось и удалилось но выше названые окна нет.
Как это вылечить?
Прошу прощения в первом посте не удалось прикрепить файл.
 

Вложения

  • CollectionLog-2017.06.17-20.52.zip
    102 KB · Просмотры: 3
1) Закройте все программы, Как временно выгрузить антивирусный продукт?
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Как выполнить скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Windows\System32\Ea3Host.exe');
 SetServiceStart('Ea3Host', 4);
 StopService('Ea3Host');
 QuarantineFile('C:\Users\Lavr\AppData\Roaming\SETUPS~1\python\pythonw.exe','');
 QuarantineFile('C:\Users\Lavr\AppData\Roaming\SETUPS~1\ml.py','');
 QuarantineFile('C:\Users\Lavr\AppData\Roaming\setupsk\python\pythonw.exe','');
 QuarantineFile('C:\Users\Lavr\AppData\Roaming\setupsk\ml.py','');
 QuarantineFile('C:\Users\Lavr\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Users\Lavr\AppData\Local\initwin\initwin.exe','');
 QuarantineFile('C:\Users\Lavr\AppData\Local\geckof\geckof.exe','');
 QuarantineFile('C:\windows\system32\Ea3Host.exe','');
 DeleteFile('C:\Windows\System32\Ea3Host.exe','32');
 DeleteFile('C:\Users\Lavr\AppData\Local\geckof\geckof.exe','32');
 DeleteFile('C:\Users\Lavr\AppData\Local\initwin\initwin.exe','32');
 DeleteFile('C:\Users\Lavr\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\Users\Lavr\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('C:\Users\Lavr\AppData\Roaming\setupsk\python\pythonw.exe','32');
 DeleteFile('C:\Users\Lavr\AppData\Roaming\SETUPS~1\ml.py','32');
 DeleteFile('C:\Users\Lavr\AppData\Roaming\SETUPS~1\python\pythonw.exe','32');
 DeleteFile('C:\windows\system32\Tasks\geckof','64');
 DeleteFile('C:\windows\system32\Tasks\initwin','64');
 DeleteFile('C:\windows\system32\Tasks\MSI','64');
 DeleteFile('C:\windows\system32\Tasks\setupsk','64');
 DeleteFile('C:\windows\system32\Tasks\setupsk_upd','64');
 DeleteService('Ea3Host');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(true);
end.
Компьютер перезагрузится.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте на этот почтовый ящик:
quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.

2) Скачайте и распакуйте утилиту ClearLNK ClearLNK - удаление параметров запуска у ярлыков
Запустите утилиту и в окно утилиты вставьте:
Код:
C:\Users\Lavr\Favorites\Links\Интернет.url
и нажмите кнопку Лечить.
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3) Подготовьте и приложите новый CollectionLog, повторно запустив Autologger.exe

4) Подготовьте и приложите лог сканирования AdwCleaner Краткая инструкция по работе с утилитой AdwCleaner.
 
  • Like
Реакции: akok
Прикрепил логи, лог avz отправил по почте.
Прикрепил повторный лог CollectionLog.
 

Вложения

  • AdwCleaner[C3].txt
    1.5 KB · Просмотры: 2
  • ClearLNK-18.06.2017_07-02.log
    1.4 KB · Просмотры: 2
  • CollectionLog-2017.06.18-08.32.zip
    103.4 KB · Просмотры: 2
Последнее редактирование:
1) Скачайте FRST (для вашей системы 64-Bit файл) и сохраните на Рабочем столе.
Запустите программу двойным щелчком.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Упакуйте все отчеты в один архив и приложите в следующем сообщении.
Подробнее читайте в Как подготовить лог Farbar Recovery Scan Tool

2) Уточните - в каких из установленных браузеров (Chrome, Opera, Farefox, EDGE) наблюдается проблема.
 
В мозиле, опера и в хроме в всплывают неприличные фото на стр. поиска гугл , далее с переходом на др. страницы всплывают казино, как заработать много ничего не делая и пр.
В едге такого не заметил.
 

Вложения

  • Addition.txt
    41.1 KB · Просмотры: 2
  • FRST.txt
    218.8 KB · Просмотры: 1
1) Создайте текстовый файл fixlist.txt на рабочем столе, где расположен FRST64.exe.
Cкопируйте в него нижеследующий текст и сохраните в кодировке Unicode:
Код:
Start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
BHO: YoutubeAdBlock -> {E3605470-291B-44EB-8648-745EE356599A} -> C:\Program Files (x86)\YubeAlckIE\twGqCM8.dll [2017-06-17] ()
FF Keyword.URL: Mozilla\Firefox\Profiles\g219lcq7.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B392AA1F0-4F6E-4675-960F-C069A92805C6%7D&gp=811014
FF Extension: (Adblocker for Youtube™) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{5C3FD6D1-9185-4195-B5E1-FAB622427F59} [2017-06-17] [not signed]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Lavr\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini [2017-06-17]
CHR HKLM-x32\...\Chrome\Extension: [gannpgaobkkhmpomoijebaigcapoeebl] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (No Name) - C:\Users\Lavr\AppData\Roaming\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-06-17]
OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Lavr\AppData\Roaming\Opera Software\Opera Stable\Extensions\jenggbjfjblgmpcfejchbpnpineboigk [2017-06-17]
C:\Users\Lavr\AppData\Roaming\setupsk
C:\Users\Lavr\AppData\Local\initwin
C:\Users\Lavr\AppData\Local\geckof
2017-06-17 11:29 - 2017-06-17 18:05 - 00000000 ____D C:\Program Files (x86)\YubeAlckIE
2017-06-17 11:29 - 2017-06-17 17:11 - 00000000 ____D C:\Program Files (x86)\YubeAlckU
2017-06-17 11:29 - 2017-06-17 11:29 - 00000000 ____D C:\Program Files (x86)\YubeAlckUn
17-06-16 07:34 - 2017-06-16 07:34 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsign7afa5a7688edb168
2017-06-16 06:37 - 2017-06-16 06:37 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsign4958fe3846aab043
2017-06-16 06:36 - 2017-06-16 06:36 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsigna74f22b80fe1dcc4
2017-06-16 06:36 - 2017-06-16 06:36 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsign8c10064a5e69b530
2017-06-16 06:36 - 2017-06-16 06:36 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsign1e0e15cb903e57d2
2017-06-16 06:36 - 2017-06-16 06:36 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsign1d26dc2f1525af7d
2017-06-16 06:30 - 2017-06-16 06:30 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsignbc198c5ba1129bd3
2017-06-16 06:30 - 2017-06-16 06:30 - 00000000 ____D C:\Users\Lavr\AppData\Local\Tempzxpsign47dfbeb0b3e7e6bb
Task: {0F3A6DDC-A5D0-47ED-AED2-09878C8DD841} - \setupsk_upd -> No File <==== ATTENTION
Task: {16EE8FDE-0281-4A2F-9791-34A40FBDAE98} - \MSI -> No File <==== ATTENTION
Task: {32A844A4-23A3-4329-908E-1647EA119BC2} - \setupsk -> No File <==== ATTENTION
Task: {403EE6B8-6CC8-4AB7-B74F-1D50FF5C073D} - \initwin -> No File <==== ATTENTION
Task: {F6FCA0BF-0160-4B96-8128-552314A1C446} - \geckof -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите.
Компьютер будет перезагружен автоматически.
(Имейте ввиду, что из браузеров будет удалена вся история посещений и содержимое панели быстрого доступа)
Прикрепите к следующему сообщению созданный отчет Fixlog.txt.
Подробнее читайте в этом руководстве Как выполнить скрипт в Farbar Recovery Scan Tool

2) Проверьте во всех браузерах наличие рекламы.

3) У вас был установлен антивирус BullGuard и неполностью деинсталлирован (осталось много следов). Рекомендую зачистить их.
 
В опере, едге, мозиле рекламы уже нет.
В хроме осталась.
Может лучше его снести на какое то время?
В реестре нашел следы BullGuard и снес.
 

Вложения

  • Fixlog.txt
    8 KB · Просмотры: 1
В хроме осталась.
Может лучше его снести на какое то время?
сначала попробуйте так:
Отключите в Chrome все установленные расширения (включая стандартные и те, которыми давно пользуетесь) и перезапустите браузер.
Если проблема пропадет, то включайте расширения по-одному, пока не найдете виновника. Название сообщите.

В Хроме включена синхронизация с другими устройствами ?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу