запуск рекламы в браузере Google Chrome

[Дмитрий Пресняков]

При открытии браузера мозилла или хром идет перенаправление на сайт wonderlandads.com/afu.php .
Промерял касперским, куреитом, майкрософт, Malwarebytes Anti-Malware, понаходило кучу ПОП но проблему не решил, помогите...

CollectionLog-2016.11.29-17.10.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AVG PC TuneUp

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\fcb0b4b1-7bbc-4ac1-89fe-7feb44c805a6\fcb0b4b1-7bbc-4ac1-89fe-7feb44c805a6.exe', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\fcb0b4b1-7bbc-4ac1-89fe-7feb44c805a6" /F', 0, 15000, true);
 DeleteFile('C:\Users\Дмитрий\AppData\Roaming\fcb0b4b1-7bbc-4ac1-89fe-7feb44c805a6\fcb0b4b1-7bbc-4ac1-89fe-7feb44c805a6.exe', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\frdfafrttp','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Дмитрий Пресняков]

авг удалил.

новые логи вот:

 

 

[KLAN-5424624790]

Thank you for sending a file for analysis to the Anti-Virus Lab.

Kaspersky Anti-Virus has scanned files.

The format of these files is safe:
quarantine.zip

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.

This is an automatically generated message. Please, do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700

CollectionLog-2016.11.30-15.56.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Дмитрий Пресняков]

сделал

Addition.txt

FRST.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF Keyword.URL: Mozilla\firefox\Profiles\sjrojf5e.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B6389BA9C-422D-485D-A23F-BBA9AA1B7552%7D&gp=811041
CHR Extension: (IObit Surfing Protection & Ads Removal) - C:\Users\Дмитрий\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\bbmegnmpleoagolcnjnejdacakedpcgd [2016-11-29]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Сообщите что с проблемой.

[Дмитрий Пресняков]

вот

Fixlog.txt

[Sandor]

что с проблемой

?

[Дмитрий Пресняков]

проблема проявляется непонятно когда..спонтанно скажем так, щас ее в данный момент нет..но я не знаю что будет после...

[Sandor]

Хорошо, проделайте завершающие шаги и наблюдайте. Темы без нарушений не закрываются.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Дмитрий Пресняков]

вот

http://b2.ijquery11.com/cs?wsa=314f3edfac500ee9  щас вот такой сайт вылез как реклама.....

из-за чего это?

SecurityCheck.txt

[Sandor]

 

 

вот такой сайт вылез

В каком браузере?

[Дмитрий Пресняков]

Проблема оказалось, как это обычно бывает, на поверхности. В планировщике заданий.  

Как удалить это, надоедливое, задание. 

1. Ищем в поиске "Планировщик заданий" и открываем его.  

2. Далее слева открывает "Библиотека планировщика заданий". 

3. Ищем то самое задание, которое открывает браузер. Завершаем его и отключаем. 

У меня это было "InternetAE". Как проверить? Выберите задание, ПКМ, свойства, и перейдите во вкладку "действия". Там будет задание, которое открывает ваш браузер и после .exe будет ссылка. Это и будет вашем заданием. 

 

P.S. Закройте тему, т.к. больше не нуждаюсь в помощи. И еще просьба не удалять тему с форума, т.к. проблема была не только у меня. Может кому-то поможет.   

[Sandor]

У меня это было "InternetAE"

Это Вы его подхватили в конце, т.к. в начальных логах его не было.

 

Для того, чтоб впредь не попадаться:

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 бета 1 (64-разрядная) v.5.20.1 Внимание! Скачать обновления

Oracle VM VirtualBox 4.3.12_ZZZZ v.4.3.12 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

BitComet 1.40 64-bit v.1.40 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Shockwave Player + Authorware Web Player v.v12.1.0.150 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player.

---------------------------- [ UnwantedApps ] -----------------------------

Driver Booster 4 for Steam Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Unity Web Player v.5.3.4f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Pluto TV version 0.2.0 v.0.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО