Рекламная вкладка.

[Chuuritsu]

Приобрел ноут с рук. был установлен касперский кристал, на котором закончился срок лицензии. решил удалить его. и повторно установить после приобретения лицензии... но столкнулся с такой проблемой попытка клика(первый клик далее нормально работаем) в любом браузере на любую ссылку в любой новой вкладке приводит к открытию новой вкладке содержащую агитирующую рекламу кристала. провел чистку системы. реестра. надстроек и прочего. прошерстил реестр сам. установил аддблок. проверил систему куреитом и собрал лог системы. но от проблемы так и не избавился. 

 

как и положенно зип с логами. 

 

Жду с нетерпением ответа. нервы на пределе..

CollectionLog-2014.08.18-08.54.zip

[Roman_Five]

 

 

приводит к открытию новой вкладке содержащую агитирующую рекламу кристала

покажите скриншот, пожалуйста.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 DeleteFile('C:\windows\Tasks\AmiUpdXp.job','64');
 DeleteFile('C:\windows\Tasks\Dealply.job','64');
 DeleteFile('C:\Users\1\AppData\Local\7b323e2e-25ae-4c1c-a090-eaaaf264795c\7b323e2e-25ae-4c1c-a090-eaaaf264795c.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFileMask('C:\Users\1\AppData\Roaming\Dealply\','* ',true ,' ');
 DeleteDirectory('C:\Users\1\AppData\Roaming\Dealply\ ',' ');
 DeleteFile('C:\Users\1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFileMask('C:\Users\1\AppData\Roaming\DSite\','* ',true ,' ');
 DeleteDirectory('C:\Users\1\AppData\Roaming\DSite\ ',' ');
 DeleteFile('C:\windows\Tasks\DSite.job','64');
 DeleteFile('C:\windows\system32\Tasks\Dealply','64');
 DeleteFile('C:\windows\system32\Tasks\DSite','64');
 DeleteFile('C:\windows\system32\Tasks\Funmoods','64');
 DeleteFile('C:\Users\1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFileMask('C:\Users\1\AppData\Roaming\Funmoods\','* ',true ,' ');
 DeleteDirectory('C:\Users\1\AppData\Roaming\Funmoods\ ',' ');
 DeleteFile('C:\Users\1\AppData\Roaming\newSI_1\s_inst.exe','32');
 DeleteFile('C:\windows\system32\Tasks\newSI_1','64');
 DeleteFile('C:\windows\system32\Tasks\newSI_2149','64');
 DeleteFile('C:\Users\1\AppData\Roaming\newSI_2149\s_inst.exe','32');
 DeleteFile('C:\windows\system32\Tasks\newSI_4396','64');
 DeleteFile('C:\Users\1\AppData\Roaming\newSI_4396\s_inst.exe','32');
 DeleteFile('C:\windows\Tasks\newSI_4396.job','64');
 DeleteFile('C:\windows\Tasks\newSI_2149.job','64');
 DeleteFile('C:\windows\Tasks\newSI_1.job','64');
 DeleteFile('C:\Program Files (x86)\SupTab\uninstall.exe','32');
 DeleteFileMask('C:\Program Files (x86)\SupTab\','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\SupTab\',' ');
 DeleteFile('C:\windows\system32\Tasks\{AAC0949B-E468-4071-95DE-56A69A65B2FB}','64');
 DeleteFile('C:\Program Files (x86)\SupTab','32');
 DeleteFileMask('C:\Users\1\AppData\Roaming\newSI_2149\','* ',true,' ');
 DeleteDirectory('C:\Users\1\AppData\Roaming\newSI_2149\ ',' ');
 DeleteFileMask('C:\Users\1\AppData\Roaming\newSI_4396\','* ',true ,' ');
 DeleteDirectory('C:\Users\1\AppData\Roaming\newSI_4396\',' ');
 DeleteFileMask('C:\Users\1\AppData\Roaming\newSI_1\','* ',true ,' ');
 DeleteDirectory('C:\Users\1\AppData\Roaming\newSI_1\',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1373b1318dc7294c57373d0851b0ed64&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=1373b1318dc7294c57373d0851b0ed64&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1408158446&from=vit&uid=WDCXWD7500BPVT-24HXZT3_WD-WXM1A818474184741
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

 

Сделайте новые логи по правилам.
+

лог AdwCleaner

[Chuuritsu]

скриншоты прикрепил (благо повезло с тормозным  инетом на работе заметил, что страничка перенаправляется скриптом содной странички на касперского.

 

выполнил скрипты в AVZ но  файлик карантина пустой. (почему не понял).

 

HijackThis  пофиксил. спасибо от другой гадости избавили =) но эксплорером не пользуюсь =)

 

так же лог AdwCleaner и лог от AutoLogger

AdwCleanerR0.txt

CollectionLog-2014.08.18-12.38.zip

[Roman_Five]

 

 

скриншоты прикрепил

в них я так и не увидел этого:

 

 

новой вкладке содержащую агитирующую рекламу кристала

 

что Вы имели ввиду?

 

удалите всё найденное, кроме элементов mail.ru (если они вам нужны) в AdwCleaner

новый лог после перезагрузки приложите.

[Chuuritsu]

 

скриншоты прикрепил

в них я так и не увидел этого:

 

 

новой вкладке содержащую агитирующую рекламу кристала

 

что Вы имели ввиду?

 

удалите всё найденное, кроме элементов mail.ru (если они вам нужны) в AdwCleaner

новый лог после перезагрузки приложите.

 

чистку сделал сразу.  все нормально спасибо что помогли. 

работа нормализовалась рекламы больше нету.

[mike 1]

Лог после удаления записей в AdwCleaner прикрепите.