Перейти к содержанию

Реклама в браузере


Тима Штарёв

Рекомендуемые сообщения

Стала появляться всплывающая реклама в браузере, в том числе видео и аудио реклама в шапках сайтов. При установленном поисковике google по умолчанию, поиск осуществляется через mail.ru. Провел сканирование и чистку через Virus Removal Tool, проблема осталась.

CollectionLog-2017.10.10-12.32.zip

Ссылка на комментарий
Поделиться на другие сайты

1) "Пофиксите" в HijackThis:

O1 - Hosts.ICS: 127.0.0.1 qqqq
O20 - AppInit_DLLs: C:\PROGRA~1\MOVIES~1\Datamngr\mgrldr.dll
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Admin/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

 

2) Программы/расширения от Mail.ru используете?
 

3)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.


4)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(1);
 ExecuteRepair(10);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Ссылка на комментарий
Поделиться на другие сайты

Все программы и расширения от mail.ru, найденные вручную, удалил.
К сожалению, при запуске AdwCleaner выдает следующую ошибку "AdwCleaner не является приложением win32". Соответствующий отчет приложить не могу.
На текущий момент проблема осталась прежней.

CollectionLog-2017.10.10-15.19.zip

Ссылка на комментарий
Поделиться на другие сайты

 

 


К сожалению, при запуске AdwCleaner выдает следующую ошибку "AdwCleaner не является приложением win32". Соответствующий отчет приложить не могу.
всё забываю, что в новой версии вырезали поддержку XP. Пробуйте собрать лог этой версией https://safezone.cc:443/resources/malwarebytes-adwcleaner.13/

+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

Ссылка на комментарий
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Ссылка на комментарий
Поделиться на другие сайты

+

 

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



Подробнее читайте в руководстве Как подготовить лог UVS.
 

Ссылка на комментарий
Поделиться на другие сайты

+

 

1) Удалите остатки от avast https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

 

2) Выполните скрипт в uVS:

На вопросы об удалении программ рекомендую соглашаться.
 
;uVS v4.0.10 [http://dsrt.dyndns.org];Target OS: NTv5.1v400cBREGexec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000}; Java(TM) 6 Update 13exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF} /quietrestart;---------command-block---------zoo %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\CHROME_BITS_3228_29611\0.46.0.4_HNIMPNEHOODHEEDGHDEEIJKLKEAACBDC.CRXdelall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\CHROME_BITS_3228_29611\0.46.0.4_HNIMPNEHOODHEEDGHDEEIJKLKEAACBDC.CRXdelref HTTP://MYSEARCH.AVG.COM?CID={220B1CB8-076A-4C21-B89D-003BF00EB9F4}&MID=78468AD06F6F47D3B1C9D16D5B38693C-B01B95B18AF47D9C4B22F1DAF3CC0AB66DEF2E16&LANG=BY&DS=AV013&COID=AVGTBDISAV&PR=SA&D=2013-10-20 10:00:38&V=17.0.0.12&PID=SAFEGUARD&SG=0&SAP=HPdelref HTTP://WWW.SEARCH.ASK.COM/?O=APN10645A&GCT=HP&D=406-362&V=N9854-147&T=4delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ENAFHPJMLNPMBDNBPJKIHMADNKFNPIIM\12.0.38_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RUdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RUdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PBDPAJCDGKNPENDPMECAFMOPKNEFAFHA\1.1.3\QUICK SEARCHERdelref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UCdelref HTTP:\\WWW.MAIL.RUdelref 10\[CLSID]delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.124\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLLdelref G:\APPINST.EXEdelref RECYCLED.EXEapplyczoo

скрипт также деинсталируйте устаревшую (уязвимую) версию Java.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Couita
      Автор Couita
      Здравствуйте! Появилось данная плашка, как ее скрыть? раздражает сильно
       

    • korenis
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • PiGeMa
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
    • Jacket45
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
    • KL FC Bot
      Автор KL FC Bot
      В апреле, с выходом Google Chrome 136, наконец решена проблема приватности, которая есть во всех крупных браузерах и о которой широко известно с 2002 года. Причем еще 15 лет назад зарегистрирована ее массовая эксплуатация недобросовестными маркетологами. Это угрожающее описание имеет известная и, казалось бы, безобидная функция, элемент удобства: когда вы посетили какой-то сайт, ссылку на него ваш браузер начинает показывать другим цветом.
      «А хотите, я его кликну? Он станет фиолетовым в крапинку…»
      Менять цвет ссылки на посещенные сайты (по умолчанию — с синего на фиолетовый) придумали 32 года назад в браузере NCSA Mosaic, и оттуда эту удобную для пользователя практику заимствовали практически все браузеры девяностых. Затем она вошла и в стандарт стилизации веб-страниц, CSS. По умолчанию такое перекрашивание работает во всех популярных браузерах и сегодня.
      Еще в 2002 году исследователи обратили внимание, что этой системой можно злоупотреблять: на странице можно разместить сотни или тысячи невидимых ссылок и с помощью JavaScript проверять, какие из них браузер раскрашивает, как посещенные. Таким образом, посторонний сайт может частично раскрыть историю веб-браузинга пользователя.
      В 2010 году исследователи обнаружили, что этой технологией пользуются на практике: нашлись крупные сайты, шпионящие за историей веб-браузинга своих посетителей. В их числе были YouPorn, TwinCities и еще 480 популярных на тот момент сайтов. Услугу анализа чужой истории предлагали сервисы Tealium и Beencounter, а против рекламной фирмы interclick, внедрившей эту технологию для аналитики, был подан судебный иск. Суд фирма выиграла, но производители основных браузеров изменили код обработки ссылок, чтобы считывать состояние посещенности ссылок «в лоб» стало невозможно.
      Но развитие веб-технологий создавало новые обходные пути для подглядывания за историей посещений сайтов, хранимой браузером. Исследование 2018 года описало четыре новых способа проверять состояние ссылок, причем к двум из них были уязвимы все протестированные браузеры, кроме Tor Browser, а один из дефектов, CVE-2018-6137, позволял проверять посещенные пользователем сайты со скоростью до 3000 ссылок в секунду. Новые, все более сложные атаки по извлечению истории веб-браузинга, продолжают появляться и сейчас.
       
      View the full article
×
×
  • Создать...