Перейти к содержанию
Правила раздела

реклама в браузере, переход на подозрительные сайты, Mail.ru плагины

V_S_N

От V_S_N
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

V_S_N Новичок

V_S_N

Опубликовано
Опубликовано (изменено)

Появилась навязчивая реклама. Браузер самопроизвольно запускается, открывает страницы "казино", разные рекламные сайты, "блоги", вспывают баннеры "знакомства". В браузере навязывается стартовая страница Mail.ru, а также, поиск через Mail.ru.

 

Компьютер проверен KVRT, обнаруженные угрозы удалены. Все равно в браузере открываются ссылки на указанные выше подозрительные сайты: казино и т.п....

 

В приложении логи.

CollectionLog-2017.03.19-13.55.zip

Изменено пользователем V_S_N
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{E3605470-291B-44EB-8648-745EE356599A}');
 QuarantineFile('C:\Program Files (x86)\Youtube AdBlockIE\0VjLidxi.dll','');
 QuarantineFile('C:\Users\manager\AppData\Roaming\MediaPlayerApplication2\MediaPlayerApplication.exe','');
 TerminateProcessByName('c:\program files (x86)\youtube adblockie\uuzi1f0l.exe');
 QuarantineFile('c:\program files (x86)\youtube adblockie\uuzi1f0l.exe','');
 DeleteFile('c:\program files (x86)\youtube adblockie\uuzi1f0l.exe','32');
 DeleteFile('C:\Users\manager\AppData\Roaming\MediaPlayerApplication2\MediaPlayerApplication.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaPlayerApplication');
 DeleteFile('C:\Program Files (x86)\Youtube AdBlockIE\0VjLidxi.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Youtube AdBlock2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Youtube AdBlock.job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for Youtube AdBlock','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for Youtube AdBlock2','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
V_S_N Новичок

V_S_N

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{E3605470-291B-44EB-8648-745EE356599A}');
 QuarantineFile('C:\Program Files (x86)\Youtube AdBlockIE\0VjLidxi.dll','');
 QuarantineFile('C:\Users\manager\AppData\Roaming\MediaPlayerApplication2\MediaPlayerApplication.exe','');
 TerminateProcessByName('c:\program files (x86)\youtube adblockie\uuzi1f0l.exe');
 QuarantineFile('c:\program files (x86)\youtube adblockie\uuzi1f0l.exe','');
 DeleteFile('c:\program files (x86)\youtube adblockie\uuzi1f0l.exe','32');
 DeleteFile('C:\Users\manager\AppData\Roaming\MediaPlayerApplication2\MediaPlayerApplication.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaPlayerApplication');
 DeleteFile('C:\Program Files (x86)\Youtube AdBlockIE\0VjLidxi.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Youtube AdBlock2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for Youtube AdBlock.job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for Youtube AdBlock','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for Youtube AdBlock2','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

 

 

 

Ок, спасибо. А разве дело в плагине Youtube Ad Block ? Я его сам поставил уже после возникновения этих проблем. Из браузера Chrome, он в доверенных плагинах...

Ссылка на комментарий
Поделиться на другие сайты
V_S_N Новичок

V_S_N

Опубликовано
  • Автор
Опубликовано (изменено)

@thyrex,

Сделал. Лог в приложении. 

 

Только это... Там в письме ниже что-то про сайт www.zcc.ru. Не понимаю, почему он упоминается. Я туда специально захожу. Он самопроизвольно не открывался никогда! В браузере стартовая страница стоит - мой корпоративный, рабочий Bitrix для zcc.ru

 

KLAN-5981273722

 

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме



В антивирусных базах информация по присланным вами файлам отсутствует:

0VjLidxi.dll

MediaPlayerApplication.exe

uuzi1f0l.exe



В антивирусных базах информация по присланным вами ссылкам отсутствует:

www.zcc.ru



Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте."

CollectionLog-2017.03.19-18.33.zip

Изменено пользователем V_S_N
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Я тоже впервые вижу упоминание сайта в ответе вирлаба :)

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Bercolitt
      Почему пропадают расширения в браузерах при переходе в режим безопасных платежей?
      От Bercolitt
      В браузере (Google Chrome) установлены расширения "Kaspersky Protection" и "Kaspersky Password Manager". При переходе с него в защищенный режим эти расширения пропадают.
    • Bercolitt
      Невозможно добиться изменения перехода на нужный сайт в режиме безопасных платежей для аккаунта из хранилища Kaspersky Password Manager.
      От Bercolitt
      В качестве сайта выбираю https://www.vtb.ru для аккаунта в хранилище. Прописываю сайт в безопасных платежах Kaspersky Plus. Делаю переход на сайт и попадаю в безопасные платежи на браузере Firefox, хотя в настройках Windows 10 указываю по умолчанию браузер Google Chrome.
      Сейчас личный кабинет на сайте стал дурить.На несколько секунд появляется нормальное изображение, потом фон резко темнеет, буквы с трудом различимы. Нажимаешь кружок со стрелкой рядом с адресной строй URL для перезагрузки  личного кабинета. Фон становится белым, но буквы постепенно становятся размытыми. Какое-то издевательство, видимо программисты постарались. Уж не фишинговый ли это сайт?
    • para87
      [РЕШЕНО] браузер сам пытается перейти на сайт
      От para87
      браузер Google Chrome  не всегда бывает  сам пытается перейти на сайт (byruthub.org   не надо на него переходить)  . Касперский останавливает переход на этот сайт.  
      я скачал   AV block remover (AVbr) v.4 подумал манер  тут safezone.cc запустил пишет скачайте новую версию. Его лог.  Я попробовал переименовал или  в другой место переместить  тоже самое.  Версия вроде новая.
      Malwarebytes обнаружила PUP.Optional.BundleInstaller я не чего с ними не делал лог вот 
       
      CollectionLog-2024.09.26-17.54.zip AV_block_remove_2024.09.26-18.07.log
      Malwarebytes Отчет о проверке 2024-09-26 182543.txt
    • Mrak
      Убрать уведомление "Остановлен переход на недоверенный сайт"
      От Mrak
      Kaspersky Premium при посещении сайтов судов Российской Федерации ВСЕГДА (каждый день, при посещении каждого сайта суда) выдаёт следующее сообщение:

      Учитывая, что я могу за день открыть множество разных сайтов, мне приходится делать море дополнительных кликов мышкой, чтобы всё же перейти на сайт.
      Подскажите, как отключить это уведомление, либо убрать проверку сертификатов для наших судов? 
      Посещают малодушные мысли, что лучше программу удалить, чем продолжать терпеть такое её поведение.
      Особенности российских сертификатов известны уже не один год, можно же подстроиться, раз уж продукт для пользователей России официально работает?
    • ArCtic
      в браузере edge открываются сайты
      От ArCtic
      Здравствуйте, в браузере edge открываются сайты сами по себе
      CollectionLog-2023.10.12-13.09.zip
×
×
  • Создать...