Chuuritsu Опубликовано 18 августа, 2014 Опубликовано 18 августа, 2014 Приобрел ноут с рук. был установлен касперский кристал, на котором закончился срок лицензии. решил удалить его. и повторно установить после приобретения лицензии... но столкнулся с такой проблемой попытка клика(первый клик далее нормально работаем) в любом браузере на любую ссылку в любой новой вкладке приводит к открытию новой вкладке содержащую агитирующую рекламу кристала. провел чистку системы. реестра. надстроек и прочего. прошерстил реестр сам. установил аддблок. проверил систему куреитом и собрал лог системы. но от проблемы так и не избавился. как и положенно зип с логами. Жду с нетерпением ответа. нервы на пределе.. CollectionLog-2014.08.18-08.54.zip
Roman_Five Опубликовано 18 августа, 2014 Опубликовано 18 августа, 2014 приводит к открытию новой вкладке содержащую агитирующую рекламу кристала покажите скриншот, пожалуйста. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; DeleteFile('C:\windows\Tasks\AmiUpdXp.job','64'); DeleteFile('C:\windows\Tasks\Dealply.job','64'); DeleteFile('C:\Users\1\AppData\Local\7b323e2e-25ae-4c1c-a090-eaaaf264795c\7b323e2e-25ae-4c1c-a090-eaaaf264795c.exe','32'); DeleteFile('C:\Users\1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','32'); DeleteFileMask('C:\Users\1\AppData\Roaming\Dealply\','* ',true ,' '); DeleteDirectory('C:\Users\1\AppData\Roaming\Dealply\ ',' '); DeleteFile('C:\Users\1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32'); DeleteFileMask('C:\Users\1\AppData\Roaming\DSite\','* ',true ,' '); DeleteDirectory('C:\Users\1\AppData\Roaming\DSite\ ',' '); DeleteFile('C:\windows\Tasks\DSite.job','64'); DeleteFile('C:\windows\system32\Tasks\Dealply','64'); DeleteFile('C:\windows\system32\Tasks\DSite','64'); DeleteFile('C:\windows\system32\Tasks\Funmoods','64'); DeleteFile('C:\Users\1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32'); DeleteFileMask('C:\Users\1\AppData\Roaming\Funmoods\','* ',true ,' '); DeleteDirectory('C:\Users\1\AppData\Roaming\Funmoods\ ',' '); DeleteFile('C:\Users\1\AppData\Roaming\newSI_1\s_inst.exe','32'); DeleteFile('C:\windows\system32\Tasks\newSI_1','64'); DeleteFile('C:\windows\system32\Tasks\newSI_2149','64'); DeleteFile('C:\Users\1\AppData\Roaming\newSI_2149\s_inst.exe','32'); DeleteFile('C:\windows\system32\Tasks\newSI_4396','64'); DeleteFile('C:\Users\1\AppData\Roaming\newSI_4396\s_inst.exe','32'); DeleteFile('C:\windows\Tasks\newSI_4396.job','64'); DeleteFile('C:\windows\Tasks\newSI_2149.job','64'); DeleteFile('C:\windows\Tasks\newSI_1.job','64'); DeleteFile('C:\Program Files (x86)\SupTab\uninstall.exe','32'); DeleteFileMask('C:\Program Files (x86)\SupTab\','* ',true ,' '); DeleteDirectory('C:\Program Files (x86)\SupTab\',' '); DeleteFile('C:\windows\system32\Tasks\{AAC0949B-E468-4071-95DE-56A69A65B2FB}','64'); DeleteFile('C:\Program Files (x86)\SupTab','32'); DeleteFileMask('C:\Users\1\AppData\Roaming\newSI_2149\','* ',true,' '); DeleteDirectory('C:\Users\1\AppData\Roaming\newSI_2149\ ',' '); DeleteFileMask('C:\Users\1\AppData\Roaming\newSI_4396\','* ',true ,' '); DeleteDirectory('C:\Users\1\AppData\Roaming\newSI_4396\',' '); DeleteFileMask('C:\Users\1\AppData\Roaming\newSI_1\','* ',true ,' '); DeleteDirectory('C:\Users\1\AppData\Roaming\newSI_1\',' '); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1373b1318dc7294c57373d0851b0ed64&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1373b1318dc7294c57373d0851b0ed64&text={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search Сделайте новые логи по правилам.+ лог AdwCleaner
Chuuritsu Опубликовано 18 августа, 2014 Автор Опубликовано 18 августа, 2014 скриншоты прикрепил (благо повезло с тормозным инетом на работе заметил, что страничка перенаправляется скриптом содной странички на касперского. выполнил скрипты в AVZ но файлик карантина пустой. (почему не понял). HijackThis пофиксил. спасибо от другой гадости избавили =) но эксплорером не пользуюсь =) так же лог AdwCleaner и лог от AutoLogger AdwCleanerR0.txt CollectionLog-2014.08.18-12.38.zip
Roman_Five Опубликовано 18 августа, 2014 Опубликовано 18 августа, 2014 скриншоты прикрепил в них я так и не увидел этого: новой вкладке содержащую агитирующую рекламу кристала что Вы имели ввиду? удалите всё найденное, кроме элементов mail.ru (если они вам нужны) в AdwCleaner новый лог после перезагрузки приложите.
Chuuritsu Опубликовано 18 августа, 2014 Автор Опубликовано 18 августа, 2014 скриншоты прикрепил в них я так и не увидел этого: новой вкладке содержащую агитирующую рекламу кристала что Вы имели ввиду? удалите всё найденное, кроме элементов mail.ru (если они вам нужны) в AdwCleaner новый лог после перезагрузки приложите. чистку сделал сразу. все нормально спасибо что помогли. работа нормализовалась рекламы больше нету.
mike 1 Опубликовано 18 августа, 2014 Опубликовано 18 августа, 2014 Лог после удаления записей в AdwCleaner прикрепите.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти