Самостоятельно открывается браузер и вкладки с рекламой

[Maxim_Odessa]

Доброго времени суток!Решил закачать игрушку и как в следствии залез mail.ru.Его удалить вроде как получилось,но самопроизвольные загрузки с рекламой остались.

Заранее спасибо.

CollectionLog-2016.12.29-15.31.zip

Addition.txt

FRST.txt

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

IObit Uninstaller

MediaGet

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe');
 TerminateProcessByName('c:\users\max\appdata\local\temp\{20d90fd1-dc6c-44fa-b5a2-a5d7068b6e48}\{88038f12-73d6-4075-bd4c-1e0e104a9971}.exe');
 StopService('Ghostery Storage Server');
 QuarantineFileF('c:\program files (x86)\ghostery storage server', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '');
 QuarantineFile('c:\users\max\appdata\local\temp\{20d90fd1-dc6c-44fa-b5a2-a5d7068b6e48}\{88038f12-73d6-4075-bd4c-1e0e104a9971}.exe', '');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{39164BAA-C922-4E8E-8559-AFA8B5CF1855}.tmp', '');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{F79AD267-4D6D-42BB-B725-90E55D279AD5}.tmp', '');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{14CFA35D-B3F7-47B0-96CD-14E94515CB24}.tmp', '');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{356506BB-9691-4F68-8F16-68830D89B6B0}.tmp', '');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{083B0665-895E-4000-A268-0FD8CEE5ACF1}.tmp', '');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{8C412368-BC9B-4BF4-BF94-31F2EB29EF6C}.tmp', '');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{1B981F35-0ECB-4040-AF60-2CF5C2CBFB04}.tmp', '');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{567FD150-5BDC-430C-B67F-B8B097E62337}.tmp', '');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{19EFCDA5-8E22-4D3F-8C3E-73F3C1372B4F}.tmp', '');
 ExecuteFile('schtasks.exe', '/delete /TN "find-mans" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '32');
 DeleteFile('c:\users\max\appdata\local\temp\{20d90fd1-dc6c-44fa-b5a2-a5d7068b6e48}\{88038f12-73d6-4075-bd4c-1e0e104a9971}.exe', '32');
 DeleteFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{39164BAA-C922-4E8E-8559-AFA8B5CF1855}.tmp', '32');
 DeleteFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{F79AD267-4D6D-42BB-B725-90E55D279AD5}.tmp', '32');
 DeleteFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{14CFA35D-B3F7-47B0-96CD-14E94515CB24}.tmp', '32');
 DeleteFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{356506BB-9691-4F68-8F16-68830D89B6B0}.tmp', '32');
 DeleteFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{083B0665-895E-4000-A268-0FD8CEE5ACF1}.tmp', '32');
 DeleteFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{8C412368-BC9B-4BF4-BF94-31F2EB29EF6C}.tmp', '32');
 DeleteFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{1B981F35-0ECB-4040-AF60-2CF5C2CBFB04}.tmp', '32');
 DeleteFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{567FD150-5BDC-430C-B67F-B8B097E62337}.tmp', '32');
 DeleteFile('C:\Users\Max\AppData\Local\Temp\{DDF835E2-D817-4D55-BB0A-E9884563E833}\{19EFCDA5-8E22-4D3F-8C3E-73F3C1372B4F}.tmp', '32');
 DeleteFileMask('c:\program files (x86)\ghostery storage server', '*', true);
 DeleteDirectory('c:\program files (x86)\ghostery storage server');
 DeleteService('Ghostery Storage Server');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Maxim_Odessa]

Добрый вечер! К сожалению ответ от newvirus@kaspersky.com не пришёл.Реклама перестала открываться.Отправляю отчёты.

Спасибо.

 

ClearLNK-29.12.2016_16-36.log

AdwCleanerC0.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Maxim_Odessa]

Готово.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-721106817-215211752-3878271693-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-721106817-215211752-3878271693-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2960672 2016-05-27] (IObit)
2016-12-28 20:20 - 2014-10-22 12:34 - 00000000 ____D C:\Users\Max\AppData\Roaming\ProductData
2016-12-27 14:42 - 2013-11-03 11:48 - 00000000 ____D C:\Users\Max\AppData\Local\Unity
2016-12-27 13:14 - 2014-10-22 12:34 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-12-27 13:14 - 2014-10-22 12:34 - 00000000 ____D C:\ProgramData\IObit
2016-12-27 13:12 - 2013-11-03 11:48 - 00000000 ____D C:\Users\Max\AppData\LocalLow\Unity
2016-12-17 17:17 - 2014-10-22 12:34 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-12-17 17:17 - 2014-10-22 12:34 - 00000000 ____D C:\ProgramData\ProductData
Task: {CF614130-B3EB-428F-8A79-0D41ADBBE6A9} - System32\Tasks\IU_BigupgradeTask => C:\Program Files (x86)\IObit\IObit Uninstaller\BigUpgrade_IU.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Maxim_Odessa]

Отправляю

Fixlog.txt

[Sandor]

Если проблема решена, завершающие шаги:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Андрей Бацула]

здравствуйте, тоже появилась проблема с открыванием вкладок вроде все сделал что тут расписано не помогло (вроде ничего не пропустил) 

 

1. ответ по почте пришел такой:

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
WiFi.dll
WiFiGO.dll
architect manager.exe
CCleaner64.exe
chrome.exe
System.Data.ni.dll
System.Web.Services.ni.dll
System.IdentityModel.ni.dll
creator-ws.exe
Ontology.dll
SkypeHost.exe
wifi go! server.exe
creator-ie-helper.dll
creator-ie-plugin.dll
CCleaner.exe
KMSAuto Net.exe
NvContainerDriverUpdateCheck.log

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

2. ClearLNK-04.01.2017_14-42.log

3.AdwCleanerS0.txt

4.FRST.txtAddition.txtShortcut.txt

 

KLAN-5601083869

11.txt

прикрепляю фикс лог (но программа не завершает процесс сколько бы ни ждал)

 

Fixlog.txt

[Sandor]

@Андрей Бацула, здравствуйте!

 

Зачем же Вы выполняете рекомендации, написанные не для Вас? Это в лучшем случае не поможет, а в худшем - повредит системе.

 

Прочтите и выполните Порядок оформления запроса о помощи

[Maxim_Odessa]

Добрый день! Да,проблема решена больше реклама не беспокоит.

Спасибо за вашу работу.

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.11 (32-разрядная) v.4.11.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.25 v.7.25.106 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

Vuze v.5.3.0.0 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AppleProduction ] ---------------------------

QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.3.3.0.3670 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

DriverPack Notifier v.2.1.2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО