реклама в браузере

[Рево]

Добрый вечер.

При открывании сайта, или же выбора ч.л. на сайте, открывается часто вкладка с рекламой. Помогите, пожалуйста, удалить данную проблему. Логи прилагаю.

 

CollectionLog-2016.10.10-19.41.zip

report1.log

report2.log

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AnySend

disk

MediaGet

My Web Shield

Reimage Repair

Smart Application Controller

Time tasks

ZetaGames

Интернет

НОВОСТИ - ZetaGames

Служба автоматического обновления программ

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Admin\AppData\Local\disk\disk.exe','');
 QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\contentprotector\condefclean.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\libeay32.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nfregdrv.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\nspr4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\nss3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\plc4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\plds4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\smime3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\softokn3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\ssleay32.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "disk" /F', 0, 15000, true);
 DeleteFile('C:\Users\Admin\AppData\Local\disk\disk.exe','32');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nfregdrv.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll', '32');
 DeleteFileMask('c:\program files\contentprotector', '*', true);
 DeleteDirectory('c:\program files\contentprotector');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Рево]

В списке установленных программ доступных для удаления (в панель управлении) не смог найти: ZetaGames и НОВОСТИ - ZetaGames.

Ответ, полученный из письма: 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

condefclean.exe,
ConProtSetup.exe,
ContentProtectorConrol.exe,
import_root_cert.exe,
libeay32.dll,
nfregdrv.exe,
ssleay32.dll,
certutil.exe,
mozcrt19.dll,
nspr4.dll,
nss3.dll,
plc4.dll,
plds4.dll,
smime3.dll,
softokn3.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

condefclean.exe,
ConProtSetup.exe,
ContentProtectorConrol.exe,
import_root_cert.exe,
libeay32.dll,
nfregdrv.exe,
ssleay32.dll,
certutil.exe,
mozcrt19.dll,
nspr4.dll,
nss3.dll,
plc4.dll,
plds4.dll,
smime3.dll,
softokn3.dll

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
From: piz2@yandex.ru
Sent: 10/11/2016 5:02:24 PM
To: newvirus@kaspersky.com
Subject:

 

[KLAN-5152652843]

 

 

ClearLNK-11.10.2016_20-08.log

AdwCleanerC1.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

AdwCleanerS3.txt

AdwCleanerS4.txt

AdwCleanerS5.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Рево]

прикрепляю отчеты

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 8

Free Up Expand

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Windows Defender <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKU\S-1-5-21-117126714-1431433357-1667075950-1002\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVfHKT0_PmcsKeqnIZqvsoDdJo7Sa_3j5tU3sEfqX1iN1thlhvINxk7-uMSFZKiqRLDTUVjMJT2mEyI3CO_JlAPQ7t4Ngc54WIemwyy0hkzOvxnsHcliO4r6OzW6KUbNwlqejZ4YgYzq9Xs-PUN0CdjvAD-GkAesFQmAYUW48aqDX5gcRW6B3XuU2e&q={searchTerms}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVfHKT0_PmcsKeqnIZqvsoDdJo7Sa_3j5tU3sEfqX1iN1thlhvINxk7-uMSFZKiqRLDTUVjMJT2mEyI3CO_JlAPQ7t4Ngc54WIemwyy0hkzOvxnsHcliO4r6OzW6KUbNwlqejZ4YgYzq9Xs-PUN0CdjvAD-GkAesFQmAYUW48aqDX5gcRW6B3XuU2e&q={searchTerms}
SearchScopes: HKU\S-1-5-21-117126714-1431433357-1667075950-1002 -> {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVfHKT0_PmcsKeqnIZqvsoDdJo7Sa_3j5tU3sEfqX1iN1thlhvINxk7-uMSFZKiqRLDTUVjMJT2mEyI3CO_JlAPQ7t4Ngc54WIemwyy0hkzOvxnsHcliO4r6OzW6KUbNwlqejZ4YgYzq9Xs-PUN0CdjvAD-GkAesFQmAYUW48aqDX5gcRW6B3XuU2e&q={searchTerms}
BHO-x32: No Name -> {2aa67961-7de1-4ae3-ae45-9ec67e96b9c0} -> No File
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Admin\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2016-10-03] (Mail.Ru)
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Damfaxs\ff.NT
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Damfaxs\ff.HP
FF NewTab: Mozilla\Firefox\Profiles\41A66E7E5EE1 -> hxxp://www.hohosearch.com/?ts=AHEqA3MtC3AsBE..&v=20160412&uid=97B47238214AE133C6A19166B75CDC2D&ptid=fss&mode=ffseng
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\41A66E7E5EE1 -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\41A66E7E5EE1 -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\41A66E7E5EE1 -> hxxp://mail.ru/cnt/10445?gp=821272
FF Extension: (GsearchFinder) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi [2016-04-14]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\homepage@mail.ru [2016-10-03]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\search@mail.ru [2016-10-03]
FF Extension: (TSearch) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2016-04-15] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-10-03]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821268","hxxp://yandex.ru/"
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2016-10-03]
CHR Extension: (Защита браузера!) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\dnpekkejknhhlelacdchpmnmeildmopm [2016-06-23]
CHR Extension: (Mail.Ru) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-10-03]
CHR Extension: (Яндекс) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfigaoamnncijbgomifamkmkidnnlikl [2016-06-11]
OPR Extension: (Поиск по торрентам) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\ipnpelpjmnmepmgacemjkdkjlappmnen [2016-03-21]
2016-10-03 12:19 - 2016-10-10 20:03 - 00000000 ____D C:\Users\Admin\AppData\Local\ZetaGamesViewer
2016-10-03 12:18 - 2016-10-03 12:19 - 00000000 ____D C:\Program Files\My Web Shield
2016-10-03 12:17 - 2016-10-10 20:03 - 00000000 ____D C:\Users\Admin\AppData\Local\ZetaGamesNews
2016-10-11 20:08 - 2016-03-23 20:37 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser
2016-10-11 19:46 - 2016-04-15 08:34 - 00000000 ____D C:\Users\Admin\AppData\Local\Amigo
2016-03-11 08:39 - 2016-03-11 08:39 - 7600640 _____ () C:\Users\Admin\AppData\Roaming\agent.dat
2016-03-11 08:39 - 2016-03-11 08:39 - 0054272 _____ () C:\Users\Admin\AppData\Roaming\ApplicationHosting.dat
2016-03-11 08:39 - 2016-03-11 08:39 - 0065040 _____ () C:\Users\Admin\AppData\Roaming\Config.xml
2016-02-18 02:45 - 2016-02-18 02:45 - 0005120 _____ () C:\Users\Admin\AppData\Roaming\GiftBag.db
2016-03-11 08:38 - 2016-03-11 08:39 - 0015696 _____ () C:\Users\Admin\AppData\Roaming\InstallationConfiguration.xml
2016-03-11 08:38 - 2016-03-11 08:38 - 0127488 _____ () C:\Users\Admin\AppData\Roaming\Installer.dat
2016-03-11 08:39 - 2016-03-11 08:39 - 0126464 _____ () C:\Users\Admin\AppData\Roaming\lobby.dat
2016-03-11 08:39 - 2016-03-11 08:39 - 0018432 _____ () C:\Users\Admin\AppData\Roaming\Main.dat
2016-03-11 08:39 - 2016-03-11 08:39 - 0005568 _____ () C:\Users\Admin\AppData\Roaming\md.xml
2016-03-11 08:39 - 2016-03-11 08:39 - 0126464 _____ () C:\Users\Admin\AppData\Roaming\noah.dat
2016-03-11 08:39 - 2016-03-11 08:38 - 0761856 _____ () C:\Users\Admin\AppData\Roaming\Openin.exe
2016-03-11 08:39 - 2016-03-11 08:39 - 0072709 _____ () C:\Users\Admin\AppData\Roaming\Openin.tst
2016-03-11 08:39 - 2016-03-11 08:38 - 0761856 _____ () C:\Users\Admin\AppData\Roaming\Stronghold.exe
2016-03-11 08:39 - 2016-03-11 08:39 - 1786497 _____ () C:\Users\Admin\AppData\Roaming\Stronghold.tst
2016-03-11 08:40 - 2016-03-11 08:40 - 0032038 _____ () C:\Users\Admin\AppData\Roaming\uninstall_temp.ico
2016-03-11 08:39 - 2016-03-11 08:39 - 0848437 _____ () C:\Users\Admin\AppData\Roaming\ZonSanin.bin
Task: {0C357198-C546-4204-871E-DA09BC96196B} - System32\Tasks\Uninstaller_SkipUac_Admin => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {D172200C-3098-4E5C-AA3C-F3E25915B5E6} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Admin.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
ShortcutWithArgument: C:\Users\Admin\Desktop\Моды от Jove.lnk -> C:\Users\Admin\AppData\Roaming\WoTMods\mods.ico () -> hxxp://goo.gl/ucKNE6
ShortcutWithArgument: C:\Users\Admin\Desktop\Прицелы WOT.lnk -> C:\Users\Admin\AppData\Roaming\WoTMods\crosshair.ico () -> hxxp://goo.gl/OI8DAF
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Моды от Jove.lnk -> C:\Users\Admin\AppData\Roaming\WoTMods\mods.ico () -> hxxp://goo.gl/ucKNE6
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Прицелы WOT.lnk -> C:\Users\Admin\AppData\Roaming\WoTMods\crosshair.ico () -> hxxp://goo.gl/OI8DAF
HKLM\...\StartupApproved\Run32: => "Timestasks"
HKU\S-1-5-21-117126714-1431433357-1667075950-1002\...\StartupApproved\Run: => "MediaGet2"
HKU\S-1-5-21-117126714-1431433357-1667075950-1002\...\StartupApproved\Run: => "ImageEd"
HKU\S-1-5-21-117126714-1431433357-1667075950-1002\...\StartupApproved\Run: => "SaveYouTime"
HKU\S-1-5-21-117126714-1431433357-1667075950-1002\...\StartupApproved\Run: => "amigo"
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Рево]

не получается удалить Free Up Expand. Процесс удаления завершается, а из списка установленных программ не исчезает....((

 

Fixlog.txt

[Sandor]

не получается удалить Free Up Expand

Пробуйте форсировано, например, через Revo Uninstall

 

Сообщите что с проблемой.

[Рево]

Free Up Expand удалил. Проблемы с рекламой нет. Спасибо за помощь. 

P.S. как можно отключить обновление Windows  в 10 версии? надоели обновления....

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

надоели обновления

При этом Вы рискуете стать здесь частым гостем.