Перейти к содержанию
Правила раздела

Назойливая реклама в браузерах.

Galgona

Автор Galgona
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Galgona

Galgona

Опубликовано
Опубликовано

 Здравствуйте.После скачивание программы,подхватила вирус во всех браузерах стала появляться реклама.Переустановка браузеров не помагла.А во всех иконках браузера после переустановки компьютера путь меняется на некий bat файл.Сразу хочу предупредить-я чайник в компьютерах.

Ссылка на комментарий
Поделиться на другие сайты
Galgona

Galgona

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Проверки программами выполнила,лог прикрепила.

CollectionLog-2016.01.20-23.09.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\users\Галина\appdata\local\f09e3180-1453237950-11dd-97d8-74d02b903c6c\qnsmd1b2.tmp');
 StopService('WindowsMangerProtect');
 StopService('zigipyro');
 QuarantineFileF('c:\programdata\tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('C:\Users\Галина\AppData\Local\Hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\sersoft\r0squf.exe','');
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '');
 QuarantineFile('c:\users\Галина\appdata\local\f09e3180-1453237950-11dd-97d8-74d02b903c6c\qnsmd1b2.tmp', '');
 QuarantineFile('C:\Users\Галина\AppData\Local\F09E3180-1453237950-11DD-97D8-74D02B903C6C\qnsmD1B2.tmp', '');
 QuarantineFile('C:\ProgramData\HWBYkhwHVB\xvsxLnbx0.bat', '');
 QuarantineFile('C:\ProgramData\VQhAthS\KYsoUM5.bat', '');
 QuarantineFile('C:\Users\Галина\AppData\Local\Hostinstaller\2722479170_installcube.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe', '32');
 DeleteFile('c:\users\Галина\appdata\local\f09e3180-1453237950-11dd-97d8-74d02b903c6c\qnsmd1b2.tmp', '32');
 DeleteFile('C:\Users\Галина\AppData\Local\F09E3180-1453237950-11DD-97D8-74D02B903C6C\qnsmD1B2.tmp', '32');
 DeleteFile('C:\ProgramData\HWBYkhwHVB\xvsxLnbx0.bat', '32');
 DeleteFile('C:\ProgramData\VQhAthS\KYsoUM5.bat', '32');
 DeleteFile('C:\Users\Галина\AppData\Local\Hostinstaller\2722479170_installcube.exe', '32');
 DeleteFileMask('c:\programdata\tmp0x0x', '*', true);
 DeleteFileMask('C:\Users\Галина\AppData\Local\Hostinstaller', '*', true);
 DeleteDirectory('c:\programdata\tmp0x0x');
 DeleteDirectory('C:\Users\Галина\AppData\Local\Hostinstaller');
 DeleteService('WindowsMangerProtect');
 DeleteService('zigipyro');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Galgona

Galgona

Опубликовано
  • Автор
Опубликовано

Здравствуйте,указания выполнила.

 

[KLAN-3642622215] 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

ProtectWindowsManager.exe,
2722479170_installcube.exe,
r0squf.exe,
qnsmd1b2.tmp

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

AdwCleanerS1.txt

ClearLNK-22.01.2016_12-33.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.
Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

application extension version 1.5
Video and Audio Plugin UBar


Ярлыки

C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
2016-01-22 15:13 - 2016-01-22 15:13 - 00000000 ____D C:\Users\Все пользователи\dptCocwtR
2016-01-22 15:13 - 2016-01-22 15:13 - 00000000 ____D C:\Users\Все пользователи\aIeKAJhzw
2016-01-22 15:13 - 2016-01-22 15:13 - 00000000 ____D C:\ProgramData\dptCocwtR
2016-01-22 15:13 - 2016-01-22 15:13 - 00000000 ____D C:\ProgramData\aIeKAJhzw
2016-01-22 12:24 - 2016-01-22 12:24 - 00000000 ____D C:\Users\Все пользователи\jXwcdfET
2016-01-22 12:24 - 2016-01-22 12:24 - 00000000 ____D C:\ProgramData\jXwcdfET
2016-01-22 11:46 - 2016-01-22 11:46 - 00000000 ____D C:\Users\Все пользователи\cphRcTKy
2016-01-22 11:46 - 2016-01-22 11:46 - 00000000 ____D C:\ProgramData\cphRcTKy
2016-01-21 20:20 - 2016-01-21 20:20 - 00000000 ____D C:\Users\Все пользователи\AkcrHGxg
2016-01-21 20:20 - 2016-01-21 20:20 - 00000000 ____D C:\ProgramData\AkcrHGxg
2016-01-21 16:20 - 2016-01-21 16:20 - 00000000 ____D C:\Users\Все пользователи\rqDQohWx
2016-01-21 16:20 - 2016-01-21 16:20 - 00000000 ____D C:\ProgramData\rqDQohWx
2016-01-21 01:48 - 2016-01-21 01:48 - 00000000 ____D C:\Users\Галина\AppData\Local\AhrqCuc
2016-01-21 01:48 - 2016-01-21 01:48 - 00000000 ____D C:\Users\Все пользователи\AhrqCuc
2016-01-21 01:48 - 2016-01-21 01:48 - 00000000 ____D C:\ProgramData\AhrqCuc
2016-01-20 21:48 - 2016-01-20 21:48 - 00000000 ____D C:\Users\Все пользователи\eBETgO
2016-01-20 21:48 - 2016-01-20 21:48 - 00000000 ____D C:\ProgramData\eBETgO
2016-01-19 10:51 - 2016-01-20 10:12 - 00000000 ____D C:\Users\Галина\AppData\LocalLow\Unity
2016-01-19 10:51 - 2016-01-20 10:12 - 00000000 ____D C:\Users\Галина\AppData\Local\Unity
2016-01-19 10:51 - 2016-01-19 23:30 - 00000000 ____D C:\Users\Галина\AppData\Roaming\WindowsUpdater
2016-01-19 10:51 - 2016-01-19 20:24 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension
2016-01-19 10:51 - 2016-01-19 10:56 - 00000000 ____D C:\Users\Галина\AppData\Roaming\MailProducts
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Запустите frst64.exe, в поле Search введите

Video and Audio Plugin UBar

нажмите Registry Search. Итоговый файл Search.txt приложите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\sersoft\r0squf.exe');
 StopService('HSystem');
 QuarantineFile('C:\Users\Галина\AppData\Roaming\yoursearching\UninstallManager.exe','');
 QuarantineFile('c:\program files (x86)\sersoft\r0squf.exe','');
 QuarantineFileF('C:\ProgramData\Tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\sersoft', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\ProgramData\mdvGviljd\SklrWdh0.bat', '');
 QuarantineFile('C:\Users\Галина\AppData\Local\mdvGviljd\SklrWdh1.bat', '');
 DeleteFile('c:\program files (x86)\sersoft\r0squf.exe','32');
 DeleteFile('C:\Users\Галина\AppData\Roaming\yoursearching\UninstallManager.exe','32');
 DeleteFile('C:\ProgramData\mdvGviljd\SklrWdh0.bat', '32');
 DeleteFile('C:\Users\Галина\AppData\Local\mdvGviljd\SklrWdh1.bat', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{20620A7C-7CA4-43EA-AB21-865AE2C3E02A}" /F', 0, 15000, true);
 DeleteService('HSystem');
 DeleteFileMask('C:\ProgramData\Tmp0x0x', '*', true);
 DeleteFileMask('c:\program files (x86)\sersoft', '*', true);
 DeleteDirectory('c:\program files (x86)\sersoft');
 DeleteDirectory('C:\ProgramData\Tmp0x0x');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 
 

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Galgona

Galgona

Опубликовано
  • Автор
Опубликовано

Выполнила.

 

[KLAN-3654543203]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

r0squf.exe,
SklrWdh0.bat,
SklrWdh1.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

ClearLNK-25.01.2016_11-15.log

CollectionLog-2016.01.25-11.22.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Couita
      Реклама
      Автор Couita
      Здравствуйте! Появилось данная плашка, как ее скрыть? раздражает сильно
       

    • korenis
      браузер закрывается сам по себе
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • PiGeMa
      Не открывается защищенный режим браузера Firefox
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
    • Alhena
      [РЕШЕНО] В браузере Google самопроизвольно открывается вкладка
      Автор Alhena
      Добрый день. Вчера во время игры (был открыт браузер Google), т.е я в данный момент играли и свернула игру. Заметила что покраснела иконка Кis. ОБыл обнаружен скрипт какого то трояна и архивы с адресом в гугле, все удалила, троян вылечился.  Но сейчас периодически открывается в браузере страница Crosspilot.io с предложением поставитьк какое то расширение для оперы в гугл. Может кто сталкивался и как с этим бороться? Пока поставила тот сайт в блокировку. Не знаю поможет ли.
    • KL FC Bot
      Как реклама с дипфейками в Instagram приводит к потере денег | Блог Касперского
      Автор KL FC Bot
      За X (ex-Twitter) уже давно и прочно закрепилась слава основного источника криптоскама, который активно продвигается в соцсети от лица взломанных или фейковых аккаунтов знаменитостей и крупных компаний. Тем временем платформы Instagram*, Facebook* и WhatsApp, принадлежащие вездесущей Meta**, зарабатывают похожую репутацию в другой категории — инвестиционного мошенничества с дипфейками.
      Преступники активно используют ИИ-инструменты для создания поддельных видео с людьми, которые обладают репутацией в финансовой сфере, — от известных экономистов и телеведущих до глав правительств. Затем злоумышленники продвигают такие видео в соцсетях с помощью рекламы. В этом посте рассказываем, как устроены эти схемы, куда попадают жертвы после просмотра таких видео, какую роль в них играет WhatsApp — и как не попасться на удочку мошенников.
      Instagram*, дипфейки и WhatsApp: инвестиционное мошенничество в Канаде
      Чтобы разобраться в том, как это все работает, мы начнем с недавней мошеннической кампании, нацеленной на клиентов канадских банков. В качестве первого шага злоумышленники запустили рекламу в Instagram* от имени BMO Belski.
      Аббревиатура BMO использована осознанно: у пользователей из Канады она устойчиво ассоциируется со старейшим банком страны, Bank of Montreal (Банк Монреаля). Упоминание фамилии Бельски также неслучайно: Брайан Бельски является главным инвестиционным стратегом BMO и руководителем группы инвестиционной стратегии банка.
      В рекламе от лица BMO Belski демонстрируются сгенерированные ИИ дипфейк‑видео с участием самого Бельски, в которых пользователям предлагают присоединиться к «приватной инвестиционной группе в WhatsApp». Расчет преступников состоит в том, что невнимательный канадский пользователь поверит в то, что ему предлагают получить достоверные финансовые и инвестиционные рекомендации от признанного эксперта, — и побежит общаться с мошенниками в WhatsApp.
      Так выглядит реклама мошеннического инвестиционного клуба с дипфейком Брайана Бельски в Instagram*: пользователей убеждают присоединиться к приватной группе в WhatsApp. Источник
      Интересная деталь — у аккаунта BMO Belski, распространявшего эту рекламу в Instagram*, вообще не было профиля в этой социальной сети. Реклама запускалась через страницу BMO Belski в Facebook* — компания Meta**, владеющая обеими социальными сетями, позволяет запускать рекламу в Instagram*, используя только бизнес‑страницу в Facebook*, без необходимости создавать отдельный аккаунт в Instagram*.
       
      View the full article
×
×
  • Создать...