Перейти к содержанию

реклама при запуске


Рекомендуемые сообщения

добрый день, хелперы! с некоторых пор на другом компьютере (без вируса шифровальщика) стала появляться назойливая реклама при запуске. скрины прилагаю. запускала avz и dr.web, что-то удалялось при этом. установленный MS Essentials показывает в карантине один троян, но не может его удалить. (скрин прилагаю). помогите уничтожить эту дрянь. 

CollectionLog-2016.05.22-15.16.zip

post-12779-0-41580700-1463901737_thumb.jpg

post-12779-0-27476300-1463901748_thumb.jpg

post-12779-0-58811300-1463901757_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
SetAVZPMStatus(false);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\Users\УГ\AppData\Roaming\ImageCropResize\ImageEd\ImageEd.exe','');
 DeleteFile('C:\Users\УГ\AppData\Roaming\ImageCropResize\ImageEd\ImageEd.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ImageEd');
ExecuteSysClean;
RebootWindows(true);
end. 


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи

 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

Re: "Запрос на исследование вредоносного файла" [KLAN-4314918215]

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

CollectionLog-2016.05.22-18.35.zip

Ссылка на комментарий
Поделиться на другие сайты


  •  




  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.


  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.


  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты

Выбирала старательно отчет с сегодняшней датой. На данный момент, реклама не выскакивала. Удалила essiantials, скачала KIS2016 и активировала действующей лицензией, запустила быструю проверку, отчет чистый.

Спасибо помощникам, особенно Mike.

Ссылка на комментарий
Поделиться на другие сайты

Не торопитесь.

 

1.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821268"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B069BCA91-59FA-45A5-88AB-DC66BAB6AE09%7D&gp=821269
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Mail.Ru) - C:\Users\УГ\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb [2016-05-22]
CHR Extension: (Pushcontrol) - C:\Users\УГ\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdapmeocgbbceopcohmbeainapanicig [2016-05-01]
CHR Extension: (ScreenChromeShot) - C:\Users\УГ\AppData\Local\Google\Chrome\User Data\Default\Extensions\jebdgdginjpgphhdempgjfbambgbpbii [2016-04-30]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\УГ\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbjjfiihgfegniolckphpnfaokdkbmdm [2016-05-22]
2016-04-30 19:31 - 2016-04-30 19:31 - 00000000 ____D C:\Users\УГ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2016-04-30 18:17 - 2016-05-21 00:29 - 00000000 ____D C:\Users\УГ\AppData\Local\cache
2016-04-30 18:15 - 2016-04-30 18:15 - 00000000 ____D C:\Users\УГ\AppData\LocalLow\Unity
2016-04-30 18:15 - 2016-04-30 18:15 - 00000000 ____D C:\Users\УГ\AppData\Local\Unity
2016-04-30 18:13 - 2016-05-22 11:26 - 00000000 ____D C:\Users\УГ\AppData\Roaming\PushControl
2016-04-30 18:13 - 2016-04-30 18:13 - 00001003 _____ C:\Users\УГ\Desktop\ImageCropResize.lnk
2016-04-30 18:13 - 2016-04-30 18:13 - 00000000 ____D C:\Users\УГ\AppData\Roaming\ScreenChromeShot
2016-04-30 18:13 - 2016-04-30 18:13 - 00000000 ____D C:\Users\УГ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PushControl
Task: {C63D66CC-B3A4-4846-A572-D3686080ACD2} - System32\Tasks\MailRuUpdater => C:\Users\УГ\AppData\Local\Mail.Ru\MailRuUpdater.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Завершающие шаги:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Couita
      Автор Couita
      Здравствуйте! Появилось данная плашка, как ее скрыть? раздражает сильно
       

    • Jacket45
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
    • Chugunyi
      Автор Chugunyi
      ошибка 0xc0000017 при попытке запуска regedit gpedit.msc , не могу так же сбросить винду, скорее всего после установки доступа дискорд+ютуб
    • Fusttee
    • MrJackXIII
      Автор MrJackXIII
      Доброго времени суток, скачал новый обход т.к. дискорд не работает, по итогу он не помог, решил найти проблему в интернете, предложили DNS прописать или скачать VP*, по итогу сделал и то и другое. Вначале было все хорошо, что-то из этого помогло, но сегодня зайдя в интернет у меня сразу же писало: "Отсутствует подключение к интернету"(ошибка решилась с помощью перезагрузки). Решил на всякий случай поменять DNS сервера обратно на автоматический (DHCP) и вылазит ошибка. В интернете поискал, многое перепробовал, но ничего не помогает, а может делает только хуже. 

×
×
  • Создать...