Реклама в браузере

[Тима Штарёв]

Стала появляться всплывающая реклама в браузере, в том числе видео и аудио реклама в шапках сайтов. При установленном поисковике google по умолчанию, поиск осуществляется через mail.ru. Провел сканирование и чистку через Virus Removal Tool, проблема осталась.

CollectionLog-2017.10.10-12.32.zip

[regist]

1) "Пофиксите" в HijackThis:

O1 - Hosts.ICS: 127.0.0.1 qqqq
O20 - AppInit_DLLs: C:\PROGRA~1\MOVIES~1\Datamngr\mgrldr.dll
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Admin/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

 

2) Программы/расширения от Mail.ru используете?
 

3)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

4)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(1);
 ExecuteRepair(10);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Тима Штарёв]

Все программы и расширения от mail.ru, найденные вручную, удалил.
К сожалению, при запуске AdwCleaner выдает следующую ошибку "AdwCleaner не является приложением win32". Соответствующий отчет приложить не могу.
На текущий момент проблема осталась прежней.

CollectionLog-2017.10.10-15.19.zip

[regist]

 

 

К сожалению, при запуске AdwCleaner выдает следующую ошибку "AdwCleaner не является приложением win32". Соответствующий отчет приложить не могу.

всё забываю, что в новой версии вырезали поддержку XP. Пробуйте собрать лог этой версией https://safezone.cc:443/resources/malwarebytes-adwcleaner.13/

+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

[Тима Штарёв]

Сканирование AdwClenaer провел, но НЕ удалял обнаруженные файлы. Логи прилагаю

AdwCleanerS0.txt

ClearLNK-10.10.2017_16-10.log

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Тима Штарёв]

Результат

AdwCleanerC0.txt

[regist]

Что с проблемой?
 

[Тима Штарёв]

Увы, реклама никуда не делась

[Sandor]

всплывающая реклама в браузере

В каком именно?

 

Скачайте Портативный браузер и проверьте в нем.

[regist]

+

 

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

Подробнее читайте в руководстве Как подготовить лог UVS.
 

[Тима Штарёв]

Работаю в Google Chrome. В портативном браузере проблем не обнаружено 

KOM_2017-10-11_12-17-20.7z

[Sandor]

Отключите в Хроме расширение

QUICK SEARCHER

и проверьте. Результат сообщите.

[Тима Штарёв]

Проблема исчезла, спасибо за помощь. На всякий случай прилагаю логи

CollectionLog-2017.10.11-13.10.zip

[regist]

+

 

1) Удалите остатки от avast https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

 

2) Выполните скрипт в uVS:

На вопросы об удалении программ рекомендую соглашаться.
 

;uVS v4.0.10 [http://dsrt.dyndns.org];Target OS: NTv5.1v400cBREGexec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000}; Java(TM) 6 Update 13exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF} /quietrestart;---------command-block---------zoo %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\CHROME_BITS_3228_29611\0.46.0.4_HNIMPNEHOODHEEDGHDEEIJKLKEAACBDC.CRXdelall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\CHROME_BITS_3228_29611\0.46.0.4_HNIMPNEHOODHEEDGHDEEIJKLKEAACBDC.CRXdelref HTTP://MYSEARCH.AVG.COM?CID={220B1CB8-076A-4C21-B89D-003BF00EB9F4}&MID=78468AD06F6F47D3B1C9D16D5B38693C-B01B95B18AF47D9C4B22F1DAF3CC0AB66DEF2E16&LANG=BY&DS=AV013&COID=AVGTBDISAV&PR=SA&D=2013-10-20 10:00:38&V=17.0.0.12&PID=SAFEGUARD&SG=0&SAP=HPdelref HTTP://WWW.SEARCH.ASK.COM/?O=APN10645A&GCT=HP&D=406-362&V=N9854-147&T=4delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ENAFHPJMLNPMBDNBPJKIHMADNKFNPIIM\12.0.38_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RUdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RUdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PBDPAJCDGKNPENDPMECAFMOPKNEFAFHA\1.1.3\QUICK SEARCHERdelref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UCdelref HTTP:\\WWW.MAIL.RUdelref 10\[CLSID]delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLLdelref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.124\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLLdelref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLLdelref G:\APPINST.EXEdelref RECYCLED.EXEapplyczoo

скрипт также деинсталируйте устаревшую (уязвимую) версию Java.