Реклама в браузере

[tich]

При запуске браузера и открывании любой страницы, появляются разные рекламные баннеры встроенные в страницу.

Данная проблема появилась после установки женой adobe photoshop.

CollectionLog-2016.11.30-22.25.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 TerminateProcessByName('c:\program files (x86)\screenup\future_helper.exe');
 TerminateProcessByName('c:\users\Анна\appdata\local\filterstart\filterstart.exe');
 DeleteFile('c:\users\Анна\appdata\local\filterstart\filterstart.exe','32');
 DeleteFile('c:\program files (x86)\screenup\future_helper.exe','32');
 DeleteFile('C:\Users\Анна\AppData\LocalLow\SearchGo\searchgo.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Current Language Manager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\FileSystemDriver','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Language Base Helper','64');
 DeleteFile('C:\Users\Анна\AppData\Local\FileSystemDriver\FileSystemDriver.exe','32');
 DeleteFile('C:\Users\Анна\AppData\Local\FilterStart\FilterStart.exe','32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером.

[tich]

Все перечисленное сделал. Что дальше?

CollectionLog-2016.12.01-23.13.zip

[mike 1]

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[tich]

Все сделал.

AdwCleanerS0.txt

[mike 1]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[tich]

Сделал. Отправляю файл.

AdwCleanerC0.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[tich]

Все сделал как указано выше. Отправляю два файла.

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction - Windows Defender <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  Tcpip\..\Interfaces\{2C3CAD22-AC79-4BC7-A4CE-B85B5A9B91EC}: [DhcpNameServer] 13.4.0.66
  2016-12-03 15:22 - 2016-12-03 15:22 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign29885393c48382fc
  2016-12-03 15:04 - 2016-12-03 15:04 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsignf81b27730e6c88a8
  2016-12-03 15:04 - 2016-12-03 15:04 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsignb9c58ddd9a06d065
  2016-12-03 15:03 - 2016-12-03 15:03 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsigna16b1894a15bba74
  2016-12-03 15:03 - 2016-12-03 15:03 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign3aeb374099b99aa3
  2016-12-02 15:56 - 2016-12-02 15:56 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign3eb78f6790e4efeb
  2016-12-02 15:50 - 2016-12-02 15:50 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsigndff4c547b6221370
  2016-12-02 15:48 - 2016-12-02 15:48 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsigna7e2f624c30473bb
  2016-12-02 15:48 - 2016-12-02 15:48 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign4b1f39aac85de207
  2016-12-02 15:48 - 2016-12-02 15:48 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign4963aa3c65bb52ec
  2016-12-02 15:48 - 2016-12-02 15:48 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign066026261a954822
  2016-12-02 01:03 - 2016-12-02 01:03 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign1d504580f02c5042
  2016-12-02 01:02 - 2016-12-02 01:02 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsigna0eedbbd38f8113a
  2016-12-02 00:58 - 2016-12-02 00:58 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign69700aa08083731a
  2016-12-02 00:58 - 2016-12-02 00:58 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign3f2c94dfccc99385
  2016-12-02 00:57 - 2016-12-02 00:57 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsignca3018b97d714fbf
  2016-12-02 00:57 - 2016-12-02 00:57 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign564d32b0c85fb763
  2016-11-29 18:25 - 2016-11-29 18:25 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign3b04a65004501e0a
  2016-11-29 18:24 - 2016-11-29 18:24 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsigna8d2e8c066061c3e
  2016-11-29 18:24 - 2016-11-29 18:24 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign4cc5999e93c0ef1c
  2016-11-29 18:24 - 2016-11-29 18:24 - 00000000 ____D C:\Users\Анна\AppData\Local\Tempzxpsign1b3250ae8203f635
  2012-11-24 04:25 - 2012-09-07 14:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
  2012-11-24 04:25 - 2009-07-22 13:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
  2012-11-24 04:25 - 2012-09-07 14:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
  2013-03-08 05:19 - 2013-03-08 05:20 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
  2013-03-08 05:14 - 2013-03-08 05:17 - 0000110 _____ () C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
  2013-03-08 05:17 - 2013-03-08 05:19 - 0000108 _____ () C:\ProgramData\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}.log
  2013-03-08 05:12 - 2013-03-08 05:14 - 0000110 _____ () C:\ProgramData\{E3739848-5329-48E3-8D28-5BBD6E8BE384}.log
  2016-11-20 21:45 - 2016-11-20 21:45 - 0000000 __RSH () C:\Program Files\360
  2013-04-21 22:42 - 2016-12-02 23:45 - 0000429 _____ () C:\Users\Анна\AppData\Roaming\sp_data.sys
  2016-11-20 21:45 - 2016-11-20 21:45 - 0000000 __RSH () C:\ProgramData\Doctor Web
  Task: {35215A60-7435-4B6F-8425-F58E0FE6B228} - \Language Base Helper -> No File <==== ATTENTION
  Task: {7B5B9474-16A2-4400-8678-A9D15F9A9EA4} - \Translator Base Manager -> No File <==== ATTENTION
  Task: {9EED42E8-38A0-4700-87F9-EAE1AB1A7E78} - \Current Language Manager -> No File <==== ATTENTION
  FirewallRules: [{9AE8F81F-8913-4B73-BFC5-81B5629B6CBE}] => C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe
  FirewallRules: [{939E67C7-6F7A-43A3-90F6-0B6F1696191F}] => C:\Program Files\Common Files\mcafee\mcsvchost\McSvHost.exe
  FirewallRules: [{CA49ACAE-5574-4A2A-A378-EDFCFFD5E908}] => C:\Program Files\UBar\ubar.exe
  FirewallRules: [{3563560E-ECF0-47C2-B0AD-BECB66A330C9}] => C:\Users\Анна\AppData\Local\Amigo\Application\amigo.exe
  EmptyTemp:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[tich]

Все сделал. zip архива не было.

Fixlog.txt

[mike 1]

Что с проблемой?

[tich]

Предварительно все нормально. Спасибо большое. Подскажете, пожалуйста, могу я удалить установленные программы?

[mike 1]

• Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
• Запустите DelFix

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
• Нажмите на кнопку Run

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте и вставьте содержимое лога

[tich]

Все сделал.

SecurityCheck.txt