Самопроизвольно открывается вкладка с рекламой

[AnViB]

Доброго времени суток.

 

Поймал на компьютер вирус от мейла. Спутники и тд поудалял, но периодически открывается вкладка с рекламой в хроме. Проверка на вирусы нашла много гадов, но с рекламой ничего поделать не смогла. Переустановка самого приложения тоже ничего не дала(

 

Во вложении необходимые файлы.

 

 

PS: перед загрузкой рекламы адрес появляется всегда один и тот же - 2blog.info.

 

 

CollectionLog-2016.10.06-22.10.zip

[mike 1]

• Скачайте Revo Uninstaller Portable отсюда и сохраните архив с утилитой на Рабочем столе
• Распакуйте архив с утилитой в новую папку
• Запустите от имени Администратора RevoUPort, примите условия лицензионного соглашения нажав OK
• Откройте Options и в графе Current language выберите русский язык
• По очереди удалите программы перечисленные в этом списке

  Unity Web Player
  

• Во время удаления программы будет запущен штатный деинсталлятор, который по окончанию работы предложит удалить остатки программы
• В качестве режима сканирования оставьте Умеренный и щелкните Далее
• Если в процессе поиска будут найдены остатки программы, то нажмите Удалить, а потом Готово
• Проделайте аналогичную операцию со остальными программами из списка.

 

 

•  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[AnViB]

Во вложении файл отчета. 

 

 

AdwCleanerS7.txt

 

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C3].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[AnViB]

Во вложении необходимые файлы.

 

AdwCleanerC3.txt

 

 

PS если после лечения и перезагрузки не открывать браузер, адвклинер ничего не находит, как только запускаешь [hjv - сразу опять ругается на  *mail.ru/cnt/*  

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[AnViB]

Во вложении необходимые файлы.

 

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

•  
  

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"

CreateRestorePoint:

CloseProcesses:

GroupPolicy: Restriction <======= ATTENTION

GroupPolicy\User: Restriction <======= ATTENTION

GroupPolicyScripts: Restriction <======= ATTENTION

CHR HKU\S-1-5-21-3048260650-556714313-3651393074-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

Winsock: Catalog5-x64 07 C:\Program Files\Bonjour\mdnsNSP.dll No File 

BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File

Toolbar: HKU\S-1-5-21-3048260650-556714313-3651393074-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File

Toolbar: HKU\S-1-5-21-3048260650-556714313-3651393074-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File

Toolbar: HKU\S-1-5-21-3048260650-556714313-3651393074-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File

BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File

CHR StartupUrls: Default -> "","hxxp://mail.ru/cnt/10445?gp=811036"

2016-10-07 14:49 - 2013-07-17 00:49 - 00000000 ____D C:\Users\Andrey\AppData\Local\Unity

C:\Users\Andrey\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk

C:\Users\Andrey\AppData\Local\Mail.Ru

EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[AnViB]

Необходимые файлы во вложении.

 

Fixlog.txt

[mike 1]

Что с проблемой?

[AnViB]

Реклама пока не появляется, посмотрю как завтра в течение дня будет. 

Однако, адвклинер все равно находит ссылку на мейл. 

 

AdwCleanerS11.txt

[mike 1]

Secure Preferences - в этом файле хранятся пароли к аккаунтам. Лучше его не трогать. 

[AnViB]

перевел его в текстовый - там есть такая строка "session":{"restore_on_startup":1,"startup_urls":["","http://mail.ru/cnt/10445?gp=811036"]},"sync":{}}

 

сам файл как то удалял - он все равно появляется и уже с этой строкой(

[mike 1]

Через Ccleaner очистите куки и сохраненные пароли в браузере.

[AnViB]

Почистил - все равно потом появляется. Но реклама не лезет, так что все отлично. Спасибо за помощь!