Перейти к содержанию

При клике в браузере открывается окно с рекламой


ekaterina ushaeva

Рекомендуемые сообщения

Здравствуйте.
 
описание:
При открытии новой вкладки или клике на ссылку открывается новое окно с рекламой. Сканирование CureIT никаких проблем не выявило. Все расширения в браузерах отключены.
 
воспроизведение:
-открываем браузер
-загружаем какую-л страницу
-нажимаем на любую ссылку на ней
открывается новая вкладка с рекламой (google chrome), открывается новое окно с рекламой (firefox)
 
браузер:
firefox
google chrome
ie
 
прикрепленные архивы

Сообщение от модератора Mark D. Pearlstone
Файл virusinfo_autoquarantine.zip удалён.

AdwCleanerR0.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты


  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".


  • По окончанию сканирования снимите галочки со следующих строк:



Папка Найдено : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru
Папка Найдено : C:\Users\s.rud\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\s.rud\AppData\Local\Yandex



  • Нажмите кнопку "Clean" и дождитесь окончания удаления.


  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.


  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

Потом обновите базы AVZ и сделайте новые логи по правилам диагностики. 

Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте:

Web Protection Prog version 5.34
VeriBrowse
Quiknowledge
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\veribrowse-soft\veribrowsed.exe');
 QuarantineFile('C:\Program Files (x86)\VeriBrowse-soft\171.dll','');
 QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{82d31bd7-bfa9-4508-a691-a2ea6b39195b}Gw64.sys','');
 QuarantineFile('c:\program files (x86)\veribrowse-soft\veribrowsed.exe','');
 DeleteFile('C:\Program Files (x86)\VeriBrowse-soft\171.dll','32');
 DeleteFile('C:\Windows\Tasks\update-S-1-5-21-1572289050-1459668877-602762455-1000.job','64');
 DeleteFile('C:\Windows\Tasks\VeriBrowse Update.job','64');
 DeleteFile('C:\Windows\Tasks\VeriBrowse_wd.job','64');
 DeleteFile('C:\Program Files (x86)\VeriBrowse-soft\VeriBrowseo93.exe','32');
 DeleteFile('C:\Program Files (x86)\VeriBrowse-soft\VeriBrowseD.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\update-S-1-5-21-1572289050-1459668877-602762455-1000','64');
 DeleteFile('C:\Windows\system32\Tasks\VeriBrowse Update','64');
 DeleteFile('C:\Windows\system32\Tasks\VeriBrowse_wd','64');
 DelBHO('{0ADF0B2D-7D87-15DF-427F-1FD1A3719DDA}');
 DeleteFileMask('C:\Program Files (x86)\VeriBrowse-soft', '*', true, ' ');
 DeleteFileMask('C:\Users\e.ushaeva\AppData\Roaming\smileyswelove', '*', true, ' ');
 DeleteFileMask('C:\Program Files (x86)\fnapp', '*', true, ' ');     
 DeleteDirectory('C:\Program Files (x86)\VeriBrowse-soft');         
 DeleteDirectory('C:\Users\e.ushaeva\AppData\Roaming\smileyswelove');
 DeleteDirectory('C:\Program Files (x86)\fnapp');     
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;   
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
 
O2 - BHO: VeriBrowse - {0ADF0B2D-7D87-15DF-427F-1FD1A3719DDA} - C:\Program Files (x86)\VeriBrowse-soft\171.dll
 
В браузере удалите незнакомые расширения. 
 
Сделайте новые логи
 
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files (x86)\SqueakyChocolate\* ',' ');
QuarantineFile('C:\Users\e.ushaeva\AppData\Roaming\trustedshopper\*','');
QuarantineFile('C:\Users\e.ushaeva\AppData\Roaming\Apple Computer\* ',' ');
QuarantineFile('C:\Users\e.ushaeva\AppData\Roaming\Plarium\*',' ');
QuarantineFile('C:\Users\s.rud\AppData\Local\Opera\Opera\cache\g_0009\opr000YH.tmp','');
QuarantineFile('C:\Program Files (x86)\SqueakyChocolate\TrustedShopper\adxloader.dll','');
DeleteFile('C:\Program Files (x86)\SqueakyChocolate\TrustedShopper\adxloader.dll','32');
DelBHO('BBE09607-D9BF-4B2E-88C2-C8D5DF7A7D37');
DeleteFileMask('C:\Users\e.ushaeva\AppData\Roaming\trustedshopper', '*', true, '');
DeleteFileMask('C:\Program Files (x86)\SqueakyChocolate ','* ', true,' ');
DeleteDirectory('C:\Users\e.ushaeva\AppData\Roaming\trustedshopper ',' ');
DeleteDirectory('C:\Program Files (x86)\SqueakyChocolate',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O2 - BHO: TrustedShopper - {BBE09607-D9BF-4B2E-88C2-C8D5DF7A7D37} - C:\Program Files (x86)\SqueakyChocolate\TrustedShopper\adxloader.dll
 

url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите[/url] в MBAM только следующие объекты:

Registry Keys: 2
PUP.Optional.Quiknowledge.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\PREAPPROVED\{323C6E6D-1621-470F-8A52-4FDEC4E75E40}, , [f2c0ee85afccd0662e662b15ca38fb05],
PUP.Optional.Quiknowledge.A, HKLM\SOFTWARE\WOW6432NODE\QUIKNOWLEDGE, , [8c26fe758af1171f19a6dddbf012a759],

Registry Values: 2
PUP.Optional.Quiknowledge.A, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS|quiknowledge@quiknowledge.com, C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com, , [4270c7acd8a3cd69e6d83088a55d748c]
PUP.Optional.Quiknowledge.A, HKLM\SOFTWARE\WOW6432NODE\QUIKNOWLEDGE|ie-ver, 9.0.8112.16421, , [8c26fe758af1171f19a6dddbf012a759]

Folders: 1
PUP.Optional.Quiknowledge.A, C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com, , [1b975320ec8f053187e1474702002cd4],

Files: 39
PUP.Optional.Quiknowledge.A, C:\WINDOWS\SYSTEM32\drivers\qknfd.sys, , [b2adf96776be79671832b74883280dc1],
PUP.Optional.InstalleRex, C:\Users\s.rud\AppData\Local\Google\Chrome\User Data\Default\File System\000\t\00\00000000, , [eac898db5e1de1556d0a5bc0728fcc34],
PUP.Optional.Quiknowledge.A, C:\AdwCleaner\Quarantine\C\Program Files\Quiknowledge\IE\QuiknowledgeClientIE.dll.vir, , [07ab601365164ee8583cf472ed14e917],
PUP.Optional.Quiknowledge.A, C:\AdwCleaner\Quarantine\C\Program Files (x86)\Quiknowledge\Uninstall.exe.vir, , [8e243142532805317e16da8ca75a60a0],
PUP.Optional.Quiknowledge.A, C:\AdwCleaner\Quarantine\C\Program Files (x86)\Quiknowledge\IE\QuiknowledgeClientIE.dll.vir, , [e7cbcda6ec8f3402eaaaef777f82e818],
PUP.Optional.Conduit.A, C:\AdwCleaner\Quarantine\C\Program Files (x86)\SearchProtect\Main\bin\uninstall.exe.vir, , [5c560b68abd050e60b29add833ceb749],
PUP.Optional.Skytech.A, C:\AdwCleaner\Quarantine\C\Program Files (x86)\SupTab\DpInterface32.dll.vir, , [f0c26a0985f653e3dfc2d3b521e060a0],
PUP.Optional.SupTab.A, C:\AdwCleaner\Quarantine\C\Program Files (x86)\SupTab\SupTab.dll.vir, , [d0e2acc7d6a50a2c3920aa8b37c9ca36],
PUP.Optional.Skytech.A, C:\AdwCleaner\Quarantine\C\Users\e.ushaeva\AppData\Roaming\sweet-page\UninstallManager.exe.vir, , [07ab165dcfac04327c25b5d32ad7f010],
PUP.SmsPay, E:\Users\s.rud\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WPGY3AK9\winrar[1].exe, , [e3cfc6ad37440a2cae15af7825df8977],
PUP.Optional.Superfish.A, C:\Users\e.ushaeva\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage, , [565c5b186615b1852ea1eeba8f73817f],
PUP.Optional.Superfish.A, C:\Users\e.ushaeva\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage-journal, , [684adb98552653e33f9055535ba7f30d],
PUP.Optional.Quiknowledge.A, C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com\browser.js, , [1b975320ec8f053187e1474702002cd4],
PUP.Optional.Quiknowledge.A, C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com\browser.xul, , [1b975320ec8f053187e1474702002cd4],
PUP.Optional.Quiknowledge.A, C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com\chrome.manifest, , [1b975320ec8f053187e1474702002cd4],
PUP.Optional.Quiknowledge.A, C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com\icon-48.png, , [1b975320ec8f053187e1474702002cd4],
PUP.Optional.Quiknowledge.A, C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com\icon-64.png, , [1b975320ec8f053187e1474702002cd4],
PUP.Optional.Quiknowledge.A, C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com\vitruvian.bootstrap.js, , [1b975320ec8f053187e1474702002cd4],
PUP.Optional.Quiknowledge.A, C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com\vitruvian.plugin-api.js, , [1b975320ec8f053187e1474702002cd4],
После удаления откройте лог и прикрепите его к сообщению.

 

Сделайте новые логи по правилам.

 

Эти объекты проверьте на virustotal.com и после проверки приложите 5 ссылок на результаты.

PUP.Optional.Amonetize.A, C:\Users\e.ushaeva\AppData\Local\14162\a9232.exe, , [3f733340bac16ec8214581c22dd352ae],
PUP.Optional.InstallCore, C:\Users\e.ushaeva\Downloads\Open OfficeSetup.exe, , [b7fb383b2c4f0d29076bf07bb45001ff],
PUP.Optional.InstallCore, C:\Users\e.ushaeva\Downloads\PdfReaderSetup.exe, , [5161472c334872c4ddc5eb8035cf11ef],
PUP.Optional.Zona, C:\Users\s.rud\Downloads\starbound_beta_rus_litsenziya.exe, , [72406f040675072f8b79f74e837eb848],
PUP.Optional.LoadMoney, C:\Users\s.rud\Downloads\myriad-pro-_torrentino.exe, , [3f73c9aa384389ad819b5aec9869fc04],

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ant666
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
    • Ta2i4
      От Ta2i4
      Со вчерашнего дня регулярно - при открытии любой темы выдается ошибка "Извините, возникла проблема. Что-то пошло не так. Пожалуйста, попробуйте еще раз".
       
      Проблему решает рефреш страницы (F5), но это нужно теперь делать всякий раз при открытии какой-либо темы, чтобы ознакомиться с ее содержимым.
       
      UPD: После создания новой темы выскакивает такая же ошибка. Но тема при этом создается.
       

    • 123343545646
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • John-80
      От John-80
      Добрый день.
      Во время работы, при переходе на некоторые страницы в браузере (яндекс браузер для организаций) происходит переадресация на страницу sweetgain.top
      Проверка машины антивирусом ничего не дает. Собран лог-файл... можете подсказать как удалить лишнее?
      avz_log.txt
    • Andrei93
      От Andrei93
      Здравствуйте. По какой-то причине Яндекс браузер блокируется Kasperskiy Security для Windows Server: 11.0.1.897. Определил отключением службы KAVFS.
      В событиях windows - Kasperskiy event log и Kasperskiy Security ни каких событий нет.
       
      Со стороны сервера отчет показывает, что ни каких проблем нет.
       
      Как понять, в чем проблема ? Как устранить ? Если решается только путем исключения, можете ли Вы подсказать как это сделать ?
       
×
×
  • Создать...