Перейти к содержанию
Правила раздела

Рекламная вкладка.

Chuuritsu

От Chuuritsu
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Chuuritsu Новичок

Chuuritsu

Опубликовано
Опубликовано

Приобрел ноут с рук. был установлен касперский кристал, на котором закончился срок лицензии. решил удалить его. и повторно установить после приобретения лицензии... но столкнулся с такой проблемой попытка клика(первый клик далее нормально работаем) в любом браузере на любую ссылку в любой новой вкладке приводит к открытию новой вкладке содержащую агитирующую рекламу кристала. провел чистку системы. реестра. надстроек и прочего. прошерстил реестр сам. установил аддблок. проверил систему куреитом и собрал лог системы. но от проблемы так и не избавился. 

 

как и положенно зип с логами. 

 

Жду с нетерпением ответа. нервы на пределе..

CollectionLog-2014.08.18-08.54.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


приводит к открытию новой вкладке содержащую агитирующую рекламу кристала

покажите скриншот, пожалуйста.


Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 DeleteFile('C:\windows\Tasks\AmiUpdXp.job','64');
 DeleteFile('C:\windows\Tasks\Dealply.job','64');
 DeleteFile('C:\Users\1\AppData\Local\7b323e2e-25ae-4c1c-a090-eaaaf264795c\7b323e2e-25ae-4c1c-a090-eaaaf264795c.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFileMask('C:\Users\1\AppData\Roaming\Dealply\','* ',true ,' ');
 DeleteDirectory('C:\Users\1\AppData\Roaming\Dealply\ ',' ');
 DeleteFile('C:\Users\1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFileMask('C:\Users\1\AppData\Roaming\DSite\','* ',true ,' ');
 DeleteDirectory('C:\Users\1\AppData\Roaming\DSite\ ',' ');
 DeleteFile('C:\windows\Tasks\DSite.job','64');
 DeleteFile('C:\windows\system32\Tasks\Dealply','64');
 DeleteFile('C:\windows\system32\Tasks\DSite','64');
 DeleteFile('C:\windows\system32\Tasks\Funmoods','64');
 DeleteFile('C:\Users\1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFileMask('C:\Users\1\AppData\Roaming\Funmoods\','* ',true ,' ');
 DeleteDirectory('C:\Users\1\AppData\Roaming\Funmoods\ ',' ');
 DeleteFile('C:\Users\1\AppData\Roaming\newSI_1\s_inst.exe','32');
 DeleteFile('C:\windows\system32\Tasks\newSI_1','64');
 DeleteFile('C:\windows\system32\Tasks\newSI_2149','64');
 DeleteFile('C:\Users\1\AppData\Roaming\newSI_2149\s_inst.exe','32');
 DeleteFile('C:\windows\system32\Tasks\newSI_4396','64');
 DeleteFile('C:\Users\1\AppData\Roaming\newSI_4396\s_inst.exe','32');
 DeleteFile('C:\windows\Tasks\newSI_4396.job','64');
 DeleteFile('C:\windows\Tasks\newSI_2149.job','64');
 DeleteFile('C:\windows\Tasks\newSI_1.job','64');
 DeleteFile('C:\Program Files (x86)\SupTab\uninstall.exe','32');
 DeleteFileMask('C:\Program Files (x86)\SupTab\','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\SupTab\',' ');
 DeleteFile('C:\windows\system32\Tasks\{AAC0949B-E468-4071-95DE-56A69A65B2FB}','64');
 DeleteFile('C:\Program Files (x86)\SupTab','32');
 DeleteFileMask('C:\Users\1\AppData\Roaming\newSI_2149\','* ',true,' ');
 DeleteDirectory('C:\Users\1\AppData\Roaming\newSI_2149\ ',' ');
 DeleteFileMask('C:\Users\1\AppData\Roaming\newSI_4396\','* ',true ,' ');
 DeleteDirectory('C:\Users\1\AppData\Roaming\newSI_4396\',' ');
 DeleteFileMask('C:\Users\1\AppData\Roaming\newSI_1\','* ',true ,' ');
 DeleteDirectory('C:\Users\1\AppData\Roaming\newSI_1\',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1373b1318dc7294c57373d0851b0ed64&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1373b1318dc7294c57373d0851b0ed64&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
 
Сделайте новые логи по правилам.
+
Ссылка на комментарий
Поделиться на другие сайты
Chuuritsu Новичок

Chuuritsu

Опубликовано
  • Автор
Опубликовано

скриншоты прикрепил (благо повезло с тормозным  инетом на работе заметил, что страничка перенаправляется скриптом содной странички на касперского.

 

выполнил скрипты в AVZ но  файлик карантина пустой. (почему не понял).

 

HijackThis  пофиксил. спасибо от другой гадости избавили =) но эксплорером не пользуюсь =)

 

так же лог AdwCleaner и лог от AutoLogger

post-32087-0-54473400-1408342711_thumb.png

post-32087-0-84848600-1408342720_thumb.png

AdwCleanerR0.txt

CollectionLog-2014.08.18-12.38.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


скриншоты прикрепил

в них я так и не увидел этого:

 

 


новой вкладке содержащую агитирующую рекламу кристала

 

что Вы имели ввиду?

 

удалите всё найденное, кроме элементов mail.ru (если они вам нужны) в AdwCleaner

новый лог после перезагрузки приложите.

Ссылка на комментарий
Поделиться на другие сайты
Chuuritsu Новичок

Chuuritsu

Опубликовано
  • Автор
Опубликовано

 

скриншоты прикрепил

в них я так и не увидел этого:

 

 

новой вкладке содержащую агитирующую рекламу кристала

 

что Вы имели ввиду?

 

удалите всё найденное, кроме элементов mail.ru (если они вам нужны) в AdwCleaner

новый лог после перезагрузки приложите.

 

чистку сделал сразу.  все нормально спасибо что помогли. 

работа нормализовалась рекламы больше нету.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Камиль Махмутянов
      KIS обнаружил рекламные программы
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • Maximer2024
      [РЕШЕНО] Рекламное ПО
      От Maximer2024
      Здравствуйте!
       
       
      К сожалению, я узнал о торрент-игрухе слишком поздно. Я пользовался сайтом очень долго, и, к счастью, мои аккаунты и т.п. не были украдены. Однако в моих браузерах — Яндекс и Google Chrome — появились расширения Fnet и Mvpn.
       
      Я пытался удалить их с помощью Kaspersky Virus Removal Tool, но после перезагрузки компьютера они снова появляются в браузерах.
       
      К сожалению, из-за работы я не могу заняться переустановкой операционной системы. Пожалуйста, помогите мне полностью удалить все вирусы.
    • Heishi
      При нажатии ПКМ на вкладку в браузере фаер фокс то она выделится как и на рабочем столе, еще клавиатура будет не работать(((
      От Heishi
      Доброго времени суток, у меня такая проблема что иногда время от времени, у меня выделяются вкладки в браузере фаер фокс и все программы на рабочем столе при нажатии на ПКМ, еще не будет работать клавиатура, и если зажать сочетание клавиш альт + таб то переходить из программы в программу будет не слева на право как обычно а наоборот, и если отпустить альт и таб то я все еще буду находиться в переходе меж программами, если нажать на программу на панели задач то она не откроется а будет открыта в фоне еще одна такая же программа, а если нажать ПКМ то программа закроется а потом опять откроется, еще после всего этого хаоса у меня открывается майкрософт офис и вылезает окно с путем который ведет к программе онедрайв екзе (вот при написании этой темы у меня снова произошла эта история но на этот раз онедрайва с офисом не было странно), я уже и виндовс переустановил все равно не помогло виндовс 11 ПРО у меня если что( Помогите пожалуйста.
    • MorozItuman
      Рекламные расширения в браузере
      От MorozItuman
      Всем привет.
      В браузере Google Chrome появились расширения Adbloker и Mvpn.
       
      Всячески пытался удалить их (доктор веб, adwcleaner, ccleaner, удалял сами расширения из папки, где они находились, переустанавливал браузер) - все бестолку, после перезагрузки восстанавливаются.
       
      Из-за специфики работы абсолютно нет возможности снести винду. 
      С помощью программы FRST64 собрал какие то логи (или как они называются). Прикрепил ниже архив с файлами FRST.txt и Addition.txt

      Молю о помощи у знатоков. 
       
      FRST и Addition.rar
    • Александр Тихий
      Добавляются ссылки с рекламным содержанием в разметку сайта
      От Александр Тихий
      Сайт https://restoll.ru/. Работает под управлением CMS Битрикс + Аспро + много плагинов и самописа.
       
      Некоторое время назад сео-специалистами при анализе вебвизора Яндекс были обнаружены посторонние ссылки на страницах сайта. Во всех обнаруженных случаях это три ссылки с анкорами про онлайн-казино на главной странице сайта под слайдером https://skr.sh/sQ3AoBr2YUf После обновления страницы они исчезли. Поиск этих анкоров на других страницах и в коде не дал результатов.
       
      Сео-спецы пишут, что смогли увидеть ссылки только при разрешении как у пользователя 1138 на 712. Ссылок всегда по три, но они имеют разные анкоры и url (хотя все про казино). Вот эти удалось сохранить:
      https://petathome.ru/com/igrovye-avtomaty-onlayn-slot-81
      https://garantspecstroy.ru/com/kazino-onlayn-prilozhenie-83
      https://petathome.ru/com/igrovoy-avtomat-garazhi-skachat-besplatno-79
      https://petathome.ru/com/igrat-v-kazino-na-dengi-yandeks-dengi-20
       
      Но и я смог зафиксировать подобного рода ссылки на 2560х1440 с масштабом 125%. В моем случае код добавленных ссылок исключительно простой (скриншот😞
      <div id="footer" class="content foot footer"><ul><li><a href="https://markov-dom.com/pr/sildenafil-s3-otzyvy-forum-muzhchin-5b">силденафил с3 отзывы форум мужчин</a></li><li><a href="https://markov-dom.com/pr/tadalafil-cena-gde-kupit-af">тадалафил цена где купить</a></li><li><a href="https://markov-dom.com/pr/sildenafil-otzyvy-muzhchin-pri-razovom-primenenii-s-alkogolem-otzyvy-realnyh-lyudey-a5">силденафил отзывы мужчин при разовом применении с алкоголем отзывы реальных людей</a></li></ul></div> 
       
      Закономерности в появлении ссылок найти не удалось.
       
      Сайт был просканирован онлайн сканером DrWeb - вирусов найдено не было
       
      Сервер у нас выделенный, но хостер дедалик не предоставляет услуг по сканированию и удалению вирусов. Сервер управляется последней версией ISP Manager, в ней куплен модуль Dr. Web, который при сканировании ничего не обнаружил. Ручной поиск вредоноса к успеху не привел и идеи у меня закончились. 
       
      Может быть уважаемые пользователи форума сталкивались с подобными случаями или знают как с этим бороться. Будем благодарны за помощь.
       
×
×
  • Создать...