Перейти к содержанию
Правила раздела

Появляется фейковый Adblock

xcosmo

Автор xcosmo
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

xcosmo

xcosmo

Опубликовано
Опубликовано

Добрый день. Где-то зацепил фейковый adblock. После перезагрузки появляется снова даже если удалили расширение. 

xcosmo

xcosmo

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в этой теме.

Спасибо. Сделал все по инструкции, логи прикрепляю.

CollectionLog-2025.12.15-13.55.zip

Sandor

Sandor

Опубликовано
Опубликовано

Деинсталлируйте нежелательное ПО:

Цитата

 

uTorrent 8.2.8

uTorrentClient 2.7.5

Кнопки сервисов Яндекса на панели задач

 

Что не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\utorrentpro\utorrentpro.exe');
 QuarantineFile('C:\Program Files\nodejs\nodeupdate.vbs', '');
 QuarantineFile('c:\program files\utorrentpro\utorrentpro.exe', '');
 QuarantineFile('C:\ProgramData\presented-provisions\bin.exe', '');
 DeleteSchedulerTask('MyNode');
 DeleteSchedulerTask('OperaUpdate');
 DeleteSchedulerTask('proc-portland');
 DeleteSchedulerTask('UpdateTorrent');
 DeleteSchedulerTask('uTorrentProUpdaterV5');
 DeleteSchedulerTask('uTorrentProUpdaterV6');
 DeleteFile('C:\Program Files\nodejs\nodeupdate.vbs', '64');
 DeleteFile('c:\program files\utorrentpro\utorrentpro.exe', '');
 DeleteFile('C:\Program Files\uTorrentPro\uTorrentPro.exe', '32');
 DeleteFile('C:\Program Files\uTorrentPro\uTorrentPro.exe', '64');
 DeleteFile('C:\ProgramData\presented-provisions\bin.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'uTorrentPro', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'uTorrentPro', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

  

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2825289994-3387688572-1498653244-1001\...\MountPoints2: {4d58bf2e-f826-11ef-89b6-aa41ff83a45e} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2825289994-3387688572-1498653244-1001\...\MountPoints2: {9c776c01-7a5a-11f0-89d7-5c3a451783ea} - "E:\HonorSuiteOnlineInstaller.exe" 
HKU\S-1-5-21-2825289994-3387688572-1498653244-1001\...\MountPoints2: {9d554886-9ac5-11ef-89a8-5c3a451783ea} - "E:\HonorSuiteOnlineInstaller.exe" 
Task: {080d6f7f-36d0-4199-af64-44fa32f16f75} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {6A2FBA02-7854-4CAC-83FC-91F218DDD6DD} - System32\Tasks\ICTorrentUpdaterV1 => "C:\Users\795\AppData\Local\Programs\com.gametop.launcher\gt-launcher.exe"  /LHS (Нет файла)
Task: {1FBF572C-99EF-4466-99F0-FDCC2E8A1235} - System32\Tasks\ICTorrentUpdaterV2 => "C:\Users\795\AppData\Local\Programs\com.gametop.launcher\gt-launcher.exe"  /LHS (Нет файла)
Task: {639A41EA-6F0E-4D71-9664-EB5DCBFDFC10} - System32\Tasks\Opera scheduled assistant Autoupdate 1607085189 => C:\Users\795\AppData\Local\Programs\Opera\launcher.exe  -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\795\AppData\Local\Programs\Opera\assistant" $(Arg0)
Task: {4C2DDDD5-DA19-419C-BA2E-4400268BE11A} - System32\Tasks\Opera scheduled Autoupdate 1607085183 => C:\Users\795\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
C:\Users\795\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\googccapdoepdpjlgncbcbbfbebhacbo
C:\Users\795\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hnanfjbmahgkmldbpopckboonnbnmfbf
C:\Users\795\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\lkkopnkndbbfdfjfgilgblefagfjflhd
C:\Users\795\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\lmncmmgcemcpempkfmgijdmjjocmmpoi
C:\Users\795\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\nkenfegegdjnhagpodadmflhpfcgjoin
2025-12-15 14:34 - 2024-05-10 12:57 - 000000000 ____D C:\Users\795\AppData\Roaming\uTorrentPro
2025-12-15 14:34 - 2024-05-10 12:57 - 000000000 ____D C:\Program Files\uTorrentPro
2025-12-15 14:34 - 2024-05-10 12:56 - 000021671 _____ C:\Users\795\ex-list
2025-12-15 14:32 - 2024-08-18 15:51 - 000001016 _____ C:\Users\795\uTorrentPro.dat
2025-12-15 12:57 - 2025-09-06 21:30 - 000000000 ____D C:\Users\795\AppData\Roaming\uTorrentClient
2025-12-15 12:44 - 2024-05-10 12:57 - 000000000 ____D C:\Users\795\AppData\Local\utorrentpro-updater
2025-12-15 12:44 - 2024-05-10 12:56 - 000000000 ____D C:\Users\795\AppData\Local\com.gametop.launcher-updater
Folder: C:\Program Files\nodejs
2025-12-12 14:35 - 2025-09-06 21:37 - 000000970 _____ C:\Users\795\uTorrentClient.dat
FirewallRules: [{63A6A33E-9002-46A9-B33A-B5674CBDEB49}] => (Allow) LPort=30306
FirewallRules: [{B1D7BD13-7B3B-4E8F-B3E1-36814FFF9BEF}] => (Allow) LPort=30305
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Code Cache\Js\*.*"
EndBatch:
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

xcosmo

xcosmo

Опубликовано
  • Автор
Опубликовано

Почему-то не загружается файл к сообщению пишет ошибку 200

 

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте и сообщите что сейчас с проблемой.

xcosmo

xcosmo

Опубликовано
  • Автор
Опубликовано
4 минуты назад, Sandor сказал:

Проверьте и сообщите что сейчас с проблемой.

Все прошло. Огромное спасибо.

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Quattro
      [РЕШЕНО] При каждой загрузке системы постоянно загружается фейковый AdBlock
      Автор Quattro
      Поймал откуда то фейковый Adblock, он установился во все браузеры. Самостоятельно удалил все расширения, вроде кое как почистил реестр, удалил из планировщика заданий, проверил несколькими программами и бестолку. Все равно при каждом запуске системы создаются вот такие файлы как на скрине. Каждый раз разное название, лежат одинаково в одном и том же месте для каждого браузера. Пользователи - Юзернейм - Appdata - Local - yandex - Default - extensions. Помогите удалить, уже всю голову изломал себе

      CollectionLog-2025.07.24-20.21.zip
    • Jacket45
      При запуске компьютера и браузера самостоятельно скачивается ablock
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
    • Takun
      google chrome устанавливаются "левые" расширения
      Автор Takun
      Добрый вечер, после того как на компьютер устанавился спустник mail, амиго и т.д., начались проблемы с google chrome, adblock постоянно сам удаляется, постоянно устанавливаются левые расширения, стартовая страница пытается изменится на mail.ru, пытался очистить с помощью adwcleaner и он нашел около 60 "угроз", почистил и потом перезагрули компьютер.После перезагрузки проблема осталась, подскажите пожалуйста, как действовать дальше.
      UPD: Прикрепил последний скан.
      AdwCleanerS1.txt
    • sy0ma
      Удаляется adblock
      Автор sy0ma
      Здравствуйте, после перезагрузки пк слетает adblock в браузере Gooogle Chrome. Adwclraner и прочие программы не помогают, в реестре заново создаются уже удаленные значения. Сканирование AutoLoggerom произвести не могу, тк как он крашится 
    • Валентин Кишкин
      Вирус удаляет Adblock после перезагрузки ПК
      Автор Валентин Кишкин
      Добрый день. После перезагрузки ПК из браузера Google Chrome удаляются все утилиты, блокирующие рекламу. Кроме того, создается расширение Smart Browser, удалить навсегда которое невозможно. 
      KL_syscure.zip
×
×
  • Создать...