в браузерах выскакивает реклама

[puffffff]

привет. скрытно установился амиго, после этого началась вся беда. рекламы, подвисание компа. часть удалилась программой AdwCleaner, но проблема полностью не решилась. логи ниже.

CollectionLog-2017.08.13-00.09.zip

[regist]

часть удалилась программой AdwCleaner,

Откуда его скачивали? Ссылку помните? Вы "левую" версию скачали.

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BDD98256B-C49B-4C20-B84D-3C53DA92A610%7D&gp=822363
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BDD98256B-C49B-4C20-B84D-3C53DA92A610%7D&gp=822363
O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O1 - Hosts: 127.0.0.1 union.baidu2019.com
O4 - HKCU\..\Run: [SafeWeb] C:\Users\ВОЛОДЬЯ\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\ВОЛОДЬЯ\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb" (file missing)
O4 - User Startup: SafeWeb.lnk    ->    C:\Users\ВОЛОДЬЯ\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\ВОЛОДЬЯ\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb"
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): PBot2 - C:\Users\ВОЛОДЬЯ\AppData\Roaming\PBot\python\pythonw.exe "C:\Users\ВОЛОДЬЯ\AppData\Roaming\PBot\updater.py"
O22 - Task (Ready): SafeWeb - C:\Users\ВОЛОДЬЯ\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\ВОЛОДЬЯ\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb" (file missing)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
  
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  
• Прикрепите отчет к своему следующему сообщению.

Изменено 12 августа, 2017 пользователем regist

[puffffff]

качал отсюда

Изменено 13 августа, 2017 пользователем regist
спасибо, убрал левую ссылку.

[regist]

Ссылку получил.

 

Установленный у вас AdwCleaner удалите через установку и удаление программ, если с ним бонусом установился adguard то его тоже. Потом делайте остальное.

[puffffff]

удалил. профиксил. AdwCleaner отчет ниже, а вирус инфо ответ со вчерашнего дня на почту не пришел, и сейчас снова не приходит

AdwCleanerS0.txt

[regist]

Если в Хроме включена синхронизация, то отключите https://support.google.com/chrome/answer/3097271

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

+ Сделайте и прикрепите свежий лог Автологера.

[puffffff]

из акк вышли, вошли, обнова не требуется.

реклама осталась, ютуб, вк и др. сайты

AdwCleanerC0.txt

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

 

[puffffff]

вирусинфо.

пришло только это. 

 

Тема для обсуждения результатов анализа:

 

Карантин 72C2DDE7DF90B3880FD8CB3092F4D16B 

Карантин успешно загружен. 
MD5 карантина: 72C2DDE7DF90B3880FD8CB3092F4D16B 
Размер в байтах: 20109757

 

логи ниже.

Addition.txt

FRST.txt

Shortcut.txt

Изменено 14 августа, 2017 пользователем puffffff

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
  FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
  FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=822353
  FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B70185128-F988-4531-937B-07E37C585A99%7D&gp=822363
  FF Extension: (No Name) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-05-25] [not signed]
  FF Extension: (No Name) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2016-12-08] [not signed]
  FF Extension: (supermegabest) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23]
  FF Extension: (No Name) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-05-25] [not signed]
  FF Extension: (No Name) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2016-12-08] [not signed]
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-07-24]
  FF Extension: (Поиск@Mail.Ru) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-07-24]
  FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-07-24]
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=profitraf7","hxxp://mail.ru/cnt/10445?gp=822353"
  CHR NewTab: Default ->  Active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BE7CD9793-2D69-49D8-8AA0-E98D1359D913%7D&gp=822323
  CHR DefaultSearchKeyword: Default -> go.mail.ru
  ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
  ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
  ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
  
  
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.
 

Рассширения от Яндекс как понимаю сами тоже не ставили?

 

 

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

5. Подробнее читайте в руководстве Как подготовить лог UVS.

 

[puffffff]

яндекс не устанавливал. логи ниже.

Fixlog.txt

WIN-JQR6RNN0QT2_2017-08-15_10-34-58.7z

[regist]

Выполните скрипт в uVS

;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LGDNILODCPLJOMELBBNPGDOGDBMCLBNI\2.0.0.15_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\180D~1\APPDATA\LOCAL\TEMP\CHROME_BITS_10912_8041\26.0.0.151_WIN64_PEPPERFLASHPLAYER.CRX3
delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.1.30_1\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EPGJFMBLHACACPHALJKDCJLLKOMDCJPC\12.0.21_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF\12.0.28_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.12_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJCGOMKANPKPBLOKEBECKNHAHGKCMOO\2.0.4.15_1\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA\2.0.0.15_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\16.10.1.1116\RESOURCES\YANDEX_FEEDBACK\YANDEX FEEDBACK
delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\MCBKFPBHKHIOJMJNLJMOKNDNMPFENKEE\3.3_0\SUPERMEGABEST.COM
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AONEDLCHKBICMHEPIMIAHFALHEEDJGBH\4.3.5_1\ПОМОЩНИК
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {B19ED566-D419-470B-B111-3C89040BC027}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
apply

restart

что с проблемой?

[puffffff]

спасибо за помощь,всё хорошо.от души дядь))

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.