При переходе по ссылкам в Интернете иногда открываются сторонние рекламные сайты

[slrvsp 0]

Доброго времени суток. Описание проблемы в названии темы. KIS 2015 проблем не находит, логи прикрепил.

Забыл нажать кнопку загрузить, приношу извинения.

Нашёл в браузере chrome пару левых расширений, выключил и удалил. Вроде проблем исчезла, однако хотелось бы быть уверенным, что она не вернётся. KIS находил раньше эти расширения и пытался их вылечить, видно не долечил.

CollectionLog-2014.09.21-00.37.zip

[thyrex 1 468]

Выполните скрипт в AVZ

 

begin
DeleteService('gupdatem');
DeleteService('gupdate');
ExecuteSysClean;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

В остальном порядок

[slrvsp 0]

Переходов вроде не наблюдается, однако расширения, которые я вчера удалил снова появились. Вот их имена NexTCoup 1.0 и priicechOp 3.9. Есть предположения, что с ними сделать?

[thyrex 1 468]

Сделайте лог полного сканирования МВАМ

[slrvsp 0]

Сделал. Файлы в temp s2hk KIS пометил как подозрительные. На всякий случай у меня 2 системы, одна на диске С, вторая на D. Пользуюсь той что на С, вторую планирую удалить.

log.txt

[thyrex 1 468]

Поместите в карантин МВАМ только

Registry Keys: 9
PUP.Optional.Multiplug, HKLM\SOFTWARE\CLASSES\TYPELIB\{157B1AA6-3E5C-404A-9118-C1D91F537040}, , [b6cf9659bebdbb7b00a3177170921ae6], 
PUP.Optional.Multiplug, HKLM\SOFTWARE\CLASSES\INTERFACE\{3B3F3AAD-FB97-49FF-BFEE-D22869AC4326}, , [b6cf9659bebdbb7b00a3177170921ae6], 
PUP.Optional.Multiplug, HKLM\SOFTWARE\WOW6432NODE\CLASSES\INTERFACE\{3B3F3AAD-FB97-49FF-BFEE-D22869AC4326}, , [b6cf9659bebdbb7b00a3177170921ae6], 
PUP.Optional.Multiplug, HKLM\SOFTWARE\WOW6432NODE\CLASSES\TYPELIB\{157B1AA6-3E5C-404A-9118-C1D91F537040}, , [b6cf9659bebdbb7b00a3177170921ae6], 
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\pricechop.pricechop, , [0283648be398e5511255cb47887b847c], 
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\pricechop.pricechop.9, , [8afb559a5526d85e3136957d56ade719], 
PUP.Optional.MultiPlug, HKLM\SOFTWARE\WOW6432NODE\CLASSES\pricechop.pricechop, , [5c2935ba2a5133032f3856bcfe05dc24], 
PUP.Optional.MultiPlug, HKLM\SOFTWARE\WOW6432NODE\CLASSES\pricechop.pricechop.9, , [aadb777888f36ccad88f050d2ad9f010], 
PUP.Optional.Softonic.A, HKU\S-1-5-21-2581222392-2974476957-3463983102-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\SOFTONIC\Universal Downloader, , [c5c09c53aad178bef4cd60c8c241fd03], 


Folders: 1
PUP.Optional.MultiPlug.A, C:\PROGRAMDATA\PRICECHOP, , [3550cd22b4c7270f2c8eda164cb6ec14], 


Files: 35
PUP.Optional.Multiplug, C:\Users\Alex\Downloads\MYFAVORITEGADGETS.EXE, , [b6cf9659bebdbb7b00a3177170921ae6], 
PUP.Optional.LiveSupport, C:\Temp\LiveSupport_setup.exe, , [a1e4b43b6813eb4b68c811add72a07f9], 
PUP.Optional.MultiPlug, C:\Temp\s2hk\temp\extIE_setup.exe, , [691c4ea1c1ba80b64f749623d42d7f81], 
Trojan.SProtector, C:\Temp\s2hk\temp\putfu.exe, , [dca99b54ef8cd26418d97ee2af52768a], 
PUP.Optional.MultiPlug, C:\Temp\s2hk\temp\setupbc.exe, , [8cf91ad5df9c2f073b88378232cfe11f], 
PUP.Optional.MultiPlug, C:\Temp\s2hk\temp\setupespl.exe, , [d3b22dc2a0db78becef582378b76f60a], 
PUP.Optional.MultiPlug, C:\Temp\s2hk\temp\setupytb.exe, , [6124ed02b6c58fa709ba9821cf327c84], 
PUP.Optional.Booster.A, C:\Temp\s2hk\temp\usetup.exe, , [018422cdf08b3cfacb674a33c24052ae],

[slrvsp 0]

Сделал, однако вышеназванные расширения всё равно появляются при каждом запуске.

[thyrex 1 468]

Сделайте лог ComboFix

[slrvsp 0]

Расширения удалил (нашёл по расположению), переходов вроде не наблюдается, расширения снова не появляются. Стоит проверять комбофиксом или нет?

[thyrex 1 468]

Не стоит

[slrvsp 0]

Ок. Большое спасибо за помощь.

[mike 1 1 093]

Деинсталлируйте MBAM.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Советы и рекомендации после лечения компьютера

[slrvsp 0]

 

Деинсталлируйте MBAM.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Советы и рекомендации после лечения компьютера

 

 

Выполнено. Уязвимостей не обнаружено. Спасибо за совет.