wanted3866 0 Опубликовано 29 января, 2017 Share Опубликовано 29 января, 2017 Здравствуйте. Chrome и Edge сами открывают вкладки с различной рекламой. Пожалуйста помогите. CollectionLog-2017.01.29-21.49.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 30 января, 2017 Share Опубликовано 30 января, 2017 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: ScreenUp Unity Web Player Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\users\alex\appdata\roaming\pbot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\users\alex\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\program files (x86)\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Users\Alex\AppData\Local\FilterOptions\regCheck.vbs', ''); QuarantineFile('C:\Users\Alex\AppData\Roaming\PBot\python\pythonw.exe', ''); QuarantineFile('C:\Users\Alex\AppData\Roaming\PBot\launchall.py', ''); QuarantineFile('C:\Users\Alex\AppData\Local\FileSystemOptions\regCheck.vbs', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\Users\Alex\AppData\Local\TestMenu\regCheck.vbs', ''); QuarantineFile('C:\Users\Alex\AppData\Local\ImmediateHelp\regCheck.vbs', ''); QuarantineFile('C:\Users\Alex\AppData\Local\LastNews\regCheck.vbs', ''); QuarantineFile('C:\Users\Alex\AppData\Local\ValidateLife\regCheck.vbs', ''); QuarantineFile('C:\Users\Alex\AppData\Local\DateOption\regCheck.vbs', ''); QuarantineFile('C:\Users\Alex\AppData\Local\rightchose\regCheck.vbs', ''); QuarantineFile('C:\Users\Alex\AppData\Local\FilterStart\FilterStart.exe', ''); QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Account Command Manager" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Current Additional Manager" /F', 0, 15000, true); DeleteFile('C:\Users\Alex\AppData\Local\FilterOptions\regCheck.vbs', '32'); DeleteFile('C:\Users\Alex\AppData\Roaming\PBot\python\pythonw.exe', '32'); DeleteFile('C:\Users\Alex\AppData\Roaming\PBot\launchall.py', '32'); DeleteFile('C:\Users\Alex\AppData\Local\FileSystemOptions\regCheck.vbs', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\Users\Alex\AppData\Local\TestMenu\regCheck.vbs', '32'); DeleteFile('C:\Users\Alex\AppData\Local\ImmediateHelp\regCheck.vbs', '32'); DeleteFile('C:\Users\Alex\AppData\Local\LastNews\regCheck.vbs', '32'); DeleteFile('C:\Users\Alex\AppData\Local\ValidateLife\regCheck.vbs', '32'); DeleteFile('C:\Users\Alex\AppData\Local\DateOption\regCheck.vbs', '32'); DeleteFile('C:\Users\Alex\AppData\Local\rightchose\regCheck.vbs', '32'); DeleteFile('C:\Users\Alex\AppData\Local\FilterStart\FilterStart.exe', '32'); DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '32'); DeleteFileMask('c:\users\alex\appdata\roaming\pbot', '*', true); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteFileMask('c:\users\alex\appdata\local\filterstart', '*', true); DeleteFileMask('c:\program files (x86)\screenup', '*', true); DeleteDirectory('c:\users\alex\appdata\roaming\pbot'); DeleteDirectory('c:\program files (x86)\zaxar'); DeleteDirectory('c:\users\alex\appdata\local\filterstart'); DeleteDirectory('c:\program files (x86)\screenup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption'); ExecuteSysClean; ExecuteRepair(3); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
wanted3866 0 Опубликовано 30 января, 2017 Автор Share Опубликовано 30 января, 2017 [KLAN-5721932363]Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.Антивирус Касперского проверил файлы.Вредоносные программы не найдены в файлах:regCheck.vbs ClearLNK-30.01.2017_13-49.log AdwCleanerS23.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 30 января, 2017 Share Опубликовано 30 января, 2017 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
wanted3866 0 Опубликовано 30 января, 2017 Автор Share Опубликовано 30 января, 2017 . FRST.txt Shortcut.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 30 января, 2017 Share Опубликовано 30 января, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-2716684100-1244473662-1938264788-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKU\S-1-5-21-2716684100-1244473662-1938264788-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://nqaqeba.ru/?utm_source=startpage03&utm_content=c08d131bc9bf107f5cf4658225c11c43 BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\.DEFAULT -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File Toolbar: HKU\S-1-5-21-2716684100-1244473662-1938264788-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811040 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B1059D9DF-4EF1-401B-9AB1-F6AD0DE293DA%7D&gp=811041 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-01-28] FF Extension: (Поиск@Mail.Ru) - C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-01-28] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-28] OPR Extension: (SearchWay) - C:\Users\Alex\AppData\Roaming\Opera Software\Opera Stable\Extensions\fgldnknlljnfcfgchdijbjmmkdkmnabn [2017-01-28] OPR Extension: (No Name) - C:\Users\Alex\AppData\Roaming\Opera Software\Opera Stable\Extensions\iffdplkiijdjejhgkcfnopnfdnlnhhlp [2015-03-19] OPR Extension: (No Name) - C:\Users\Alex\AppData\Roaming\Opera Software\Opera Stable\Extensions\nnablabjebldnjlelboobpjegkehklon [2015-06-17] Task: {42ECEAAA-A739-4723-AA26-2418D2F69ABF} - \PBot -> No File <==== ATTENTION Task: {180D93A1-6FD4-4F81-A11C-A260E21EA431} - \Solution Additional Manager -> No File <==== ATTENTION Task: {7CB39012-737D-478F-AD49-CDF180565FD4} - \InstallShield Update Service -> No File <==== ATTENTION HKLM\...\StartupApproved\Run32: => "FilterOptions" HKU\S-1-5-21-2716684100-1244473662-1938264788-1000\...\StartupApproved\StartupFolder: => "regCheck.lnk" HKU\S-1-5-21-2716684100-1244473662-1938264788-1000\...\StartupApproved\Run: => "PBot" HKU\S-1-5-21-2716684100-1244473662-1938264788-1000\...\StartupApproved\Run: => "Zaxar" FirewallRules: [{B54215A1-B93C-437A-8453-4522C54EF2FE}] => C:\Users\Alex\AppData\Local\Amigo\Application\amigo.exe EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
wanted3866 0 Опубликовано 30 января, 2017 Автор Share Опубликовано 30 января, 2017 . Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 31 января, 2017 Share Опубликовано 31 января, 2017 Что сейчас с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
wanted3866 0 Опубликовано 31 января, 2017 Автор Share Опубликовано 31 января, 2017 без изменений Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 31 января, 2017 Share Опубликовано 31 января, 2017 В каком браузере проявляется? Повторите CollectionLog с помощью Автологера. Цитата Ссылка на сообщение Поделиться на другие сайты
wanted3866 0 Опубликовано 31 января, 2017 Автор Share Опубликовано 31 января, 2017 Edge вроде бы перестал открывать. По крайней мере последние 2 дня. Только в Chrome. CollectionLog-2017.01.31-11.15.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 31 января, 2017 Share Опубликовано 31 января, 2017 Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите. (Предположительно это "friGate Light - разблокировка сайтов") Цитата Ссылка на сообщение Поделиться на другие сайты
wanted3866 0 Опубликовано 31 января, 2017 Автор Share Опубликовано 31 января, 2017 Не помогло. Я до обращения к вам удалял хром. Вкладки в Edge возникали только при отсутствии Хрома. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 31 января, 2017 Share Опубликовано 31 января, 2017 То есть при отключенных всех расширениях реклама в Хроме все равно появляется? Цитата Ссылка на сообщение Поделиться на другие сайты
wanted3866 0 Опубликовано 31 января, 2017 Автор Share Опубликовано 31 января, 2017 Именно. Я уверен, что это не расширения. До заражения вирусом я работал с этим же набором расширений. Никаких проблем не было. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.