Перейти к содержанию
Правила раздела

Amigo + Mail.ru + реклама в браузере

neotrance

Автор neotrance
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

neotrance

neotrance

Опубликовано
Опубликовано (изменено)

Всем привет.

После перехода на Win10 нашел на ноуте Амиго (в списке всех програм, в ПУ не было), Меил Апдейтер и началась запускаться реклама при открытии Г.Хром.
Помогите удалить  вирусы. 

CollectionLog-2015.09.30-17.53.zip

Изменено пользователем neotrance
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

HP Defender удалите через Установку программ

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Olichka\AppData\Local\Browsers\browser2.bat','');
QuarantineFile('C:\ProgramData\Browsers\browser6.bat','');
QuarantineFile('C:\ProgramData\Browsers\browser0.bat','');
SetServiceStart('HHandler Service', 4);
DeleteService('HHandler Service');
TerminateProcessByName('c:\program files (x86)\hp defender\hhandler.exe');
QuarantineFile('c:\program files (x86)\hp defender\hhandler.exe','');
DeleteFile('c:\program files (x86)\hp defender\hhandler.exe','32');
DeleteFile('C:\ProgramData\Browsers\browser0.bat','32');
DeleteFile('C:\ProgramData\Browsers\browser6.bat','32');
DeleteFile('C:\Users\Olichka\AppData\Local\Browsers\browser2.bat','32');
DeleteFileMask('c:\program files (x86)\hp defender', '*', true);
DeleteDirectory('c:\program files (x86)\hp defender');
DeleteFileMask('C:\ProgramData\Browsers', '*', true);
DeleteDirectory('C:\ProgramData\Browsers');
DeleteFileMask('C:\Users\Olichka\AppData\Local\Browsers', '*', true);
DeleteDirectory('C:\Users\Olichka\AppData\Local\Browsers');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
neotrance

neotrance

Опубликовано
  • Автор
Опубликовано
1. Выполнил первый скрипт

2. [KLAN-3182457448]

3. Прикрепил новые логи

4. Удалил HP Defender

CollectionLog-2015.09.30-18.43.zip

ClearLNK-30.09.2015_18-38.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Remote Desktop Access удалите через Установку программ

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
Task: {024F5CD0-1E49-4DC7-B42F-BB00F9DB2953} - \chrome5 -> No File <==== ATTENTION
Task: {0CE7380F-2058-4D41-B45E-8AAA3B4573F7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {14417AAE-5E3C-45B0-964A-039D6FC67B36} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {2286D07D-FF81-4632-938B-53C1091A591B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {33C628CB-7561-40CE-A7FA-9A38A605C3C1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {44D5FA90-0E6E-4DAA-9530-E23748547FF7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {63F06329-2565-46FD-AD4B-8CB444C6B497} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {9784C369-F7F9-4A27-A7B0-62FF6D7BDB62} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {99D3DC0C-98C6-4768-B8BD-F17900DA39C1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {CAE6D40D-0BB3-473A-B6A6-7BD6CE006BB9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {D8691495-8F05-4927-9583-3FE0E26C13D4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {E2261D42-797C-43B4-9CC3-339E726582BD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {E9E613C7-BA09-4587-BBD3-81AAAC8D4D03} - \chrome5_logon -> No File <==== ATTENTION
HKLM\...\RunOnce: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1503277481-863528806-1219388389-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Olichka\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-1503277481-863528806-1219388389-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: NetFilterPRO - C:\Users\Olichka\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\admin@netfilter.pro [2015-03-19]
OPR Extension: (Quick Searcher) - C:\Users\Olichka\AppData\Roaming\Opera Software\Opera Stable\Extensions\adokjfanaflbkibffcbhihgihpgijcei [2015-09-24]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=blackbear9"
OPR StartupUrls: "hxxp://mail.ru/cnt/10445"],"urls_signature":"XMIrv1PkTw/0HjiEPkLtsPxaWfAsoCAQ4dR7hDrA6uPcPVZKQRy9brk3r6oRerLG"},"speeddial":{"bookmarks_folder_guid":"E4A8074C-733B-4A22-AD5E-06C514A89B57","imported_to_bookmarks":true},"spellcheck":{"dictionaries":["ru"
FF DefaultSearchEngine: Поиск@Mail.Ru
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Homepage: hxxp://mail.ru/cnt/10445?gp=blackbear9
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
2015-09-27 12:16 - 2015-03-19 22:47 - 00000000 ____D C:\Users\Olichka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Couita
      Реклама
      Автор Couita
      Здравствуйте! Появилось данная плашка, как ее скрыть? раздражает сильно
       

    • korenis
      браузер закрывается сам по себе
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • PiGeMa
      Не открывается защищенный режим браузера Firefox
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
    • Alhena
      [РЕШЕНО] В браузере Google самопроизвольно открывается вкладка
      Автор Alhena
      Добрый день. Вчера во время игры (был открыт браузер Google), т.е я в данный момент играли и свернула игру. Заметила что покраснела иконка Кis. ОБыл обнаружен скрипт какого то трояна и архивы с адресом в гугле, все удалила, троян вылечился.  Но сейчас периодически открывается в браузере страница Crosspilot.io с предложением поставитьк какое то расширение для оперы в гугл. Может кто сталкивался и как с этим бороться? Пока поставила тот сайт в блокировку. Не знаю поможет ли.
    • KL FC Bot
      Как реклама с дипфейками в Instagram приводит к потере денег | Блог Касперского
      Автор KL FC Bot
      За X (ex-Twitter) уже давно и прочно закрепилась слава основного источника криптоскама, который активно продвигается в соцсети от лица взломанных или фейковых аккаунтов знаменитостей и крупных компаний. Тем временем платформы Instagram*, Facebook* и WhatsApp, принадлежащие вездесущей Meta**, зарабатывают похожую репутацию в другой категории — инвестиционного мошенничества с дипфейками.
      Преступники активно используют ИИ-инструменты для создания поддельных видео с людьми, которые обладают репутацией в финансовой сфере, — от известных экономистов и телеведущих до глав правительств. Затем злоумышленники продвигают такие видео в соцсетях с помощью рекламы. В этом посте рассказываем, как устроены эти схемы, куда попадают жертвы после просмотра таких видео, какую роль в них играет WhatsApp — и как не попасться на удочку мошенников.
      Instagram*, дипфейки и WhatsApp: инвестиционное мошенничество в Канаде
      Чтобы разобраться в том, как это все работает, мы начнем с недавней мошеннической кампании, нацеленной на клиентов канадских банков. В качестве первого шага злоумышленники запустили рекламу в Instagram* от имени BMO Belski.
      Аббревиатура BMO использована осознанно: у пользователей из Канады она устойчиво ассоциируется со старейшим банком страны, Bank of Montreal (Банк Монреаля). Упоминание фамилии Бельски также неслучайно: Брайан Бельски является главным инвестиционным стратегом BMO и руководителем группы инвестиционной стратегии банка.
      В рекламе от лица BMO Belski демонстрируются сгенерированные ИИ дипфейк‑видео с участием самого Бельски, в которых пользователям предлагают присоединиться к «приватной инвестиционной группе в WhatsApp». Расчет преступников состоит в том, что невнимательный канадский пользователь поверит в то, что ему предлагают получить достоверные финансовые и инвестиционные рекомендации от признанного эксперта, — и побежит общаться с мошенниками в WhatsApp.
      Так выглядит реклама мошеннического инвестиционного клуба с дипфейком Брайана Бельски в Instagram*: пользователей убеждают присоединиться к приватной группе в WhatsApp. Источник
      Интересная деталь — у аккаунта BMO Belski, распространявшего эту рекламу в Instagram*, вообще не было профиля в этой социальной сети. Реклама запускалась через страницу BMO Belski в Facebook* — компания Meta**, владеющая обеими социальными сетями, позволяет запускать рекламу в Instagram*, используя только бизнес‑страницу в Facebook*, без необходимости создавать отдельный аккаунт в Instagram*.
       
      View the full article
×
×
  • Создать...