Рекламные вкладки в браузере

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  CHR HomePage: Default -> hxxp://www.startpageing123.com/?type=hp&ts=1489517553&z=ca24c457a08f9d426cc68dcgfz0b7tawdgcm9w7w1o&from=che0812&uid=SAMSUNGXHM250HI_S20TJFQZ712217
  CHR StartupUrls: Default -> "hxxp://www.startpageing123.com/?type=hp&ts=1489517553&z=ca24c457a08f9d426cc68dcgfz0b7tawdgcm9w7w1o&from=che0812&uid=SAMSUNGXHM250HI_S20TJFQZ712217","hxxp://mail.ru/cnt/7993/","hxxps://www.google.com/"
  ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> No File
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
  Task: {0CBA372C-14BF-456F-85E0-4F078CF0160A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
  Task: {27AF0683-049F-4B12-A6D2-9213686694DF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
  Task: {476133B9-650C-4EF0-B86D-07A6D491151A} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
  Task: {4ADACC92-CA5F-4F76-A8E2-4E407C0C9A56} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> No File <==== ATTENTION
  Task: {4E15064C-6DB2-40A8-99B9-67861F2D76FB} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
  Task: {504243AF-0DD1-42C0-8EBE-F30D4034411F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
  Task: {8AE1BF4D-349E-4909-B362-F3848112CB2C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
  Task: {AF788F2B-309B-4F45-B3A2-720B92C2DD3D} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
  Task: {B4FB4F8B-EA12-40F5-9D47-8B7F409D1020} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
  Task: {CBC7836D-E6BD-4A5A-AFF5-BF1365DA73A8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
  Task: {E83328EF-0095-468A-927A-44B0C102BA3E} - \Doctor Web\Dr.Web Daily scan -> No File <==== ATTENTION
  Task: {EEC473AE-2042-4B20-8311-6FFC8B0A663E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
  Task: {F31D7EF8-31AF-4E29-B9A4-6152E173C5CA} - System32\Tasks\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser => %windir%\system32\rundll32.exe generaltel.dll,RunTelemetryW
  Task: {FEB28B39-2864-4223-8847-A4CBF4D56AE8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
  FirewallRules: [UDP Query User{0B800064-876D-44F3-81D6-71A24770D270}C:\users\владимир\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe] => (Allow) C:\users\владимир\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe
  FirewallRules: [TCP Query User{4BD902F8-5628-40DF-B341-A1C79574D7A7}C:\users\владимир\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe] => (Allow) C:\users\владимир\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe
  
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.


 

[Ключник]

Прикрепляю

Fixlog.txt

[regist]

Попробуйте отключить все рассширения в браузере, очистить кеш и проверить проблему.

[Ключник]

Всё сделал.

Всё равно вылазит, скотина 

[regist]

Точно все рассширения отключили? Включая "родные"?

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

[Ключник]

У меня нет возможности деактивировать ознакомительную версию. 

Прилагаю скрин.

Может теперь как-то по другому действовать? 

Прикрепляю.

mar.txt

[regist]

Удалите в MBAM всё найденное и проверьте проблему.

[Ключник]

Удалил вредоносное ПО.

Попросил МВАВ попросил перезагрузку для удаления - перезагрузился.

После перезагрузки МВАВ сказал, что ему нужно поставить библиотеку от руткитов, но эти самые руткиты ему мешают - и попросил опять перезагрузку. Опять перезагрузил.

Открыл браузер и свой популярный ресурс - опять та же проблема с рекламными вкладками.

[regist]

@Ключник, эти окна на всех сайтах вылазиют? К примеру на яндексе тоже? Может это реклама самого сайта?

К этой точке доступа другие устройства подключены? На них проблема есть?

[Ключник]

Эта реклама вылазит только на некоторых сайтах. 

Например, на часто мною посещаемых: door.ru, masod.org, dverizamki.org 

Вредоносного кода на этих сайтах, как говорят администраторы, не обнаружено. 

 

В яндексе вредоносной рекламы нет. Но при поиске и выходы на другие сайты - бывает. Закономерности я не смог понять (разные CMS)

 

Дома есть ещё два компьютера. Один подключен к этому же вайфаю, другой - по кабелю. Рекламы ни на одном из этих компьютеров не наблюдается, даже при посещении моим часто посещаемых сайтов.

[regist]

Дома есть ещё два компьютера.

на них проверяете в том же браузере с тем же набором рассширений? Рассширения наподобие установленных у вас MegaBonus очень часто грешат подобным показом рекламных вкладок.

 

И давайте ещё одну вещь проверим. Загрузитесь в безопасный режим с поддержкой сети и оттуда проверьте проблему в портативной Опере отсюда.

 

Изменено 25 ноября, 2017 пользователем regist

[Ключник]

Да, на других компьютерах со всеми этими же расширениями никаких рекламных вкладок.

Мегабонус у меня давно отключен. Пользуюсь везде расширением "закладки", при том таскаю импорт/экспорт с собой.

 

Мне кажется, что у меня эта свистопляска началась после того, как я с торента скачал и переустановил офис. Предыдущая версия задалбливала какой-то регистрацией, вот, решил себе помочь.

 

Не пойму, как пользоваться сетью в безопасном режиме...

WIN + R 

На вкладке "загрузка", включил "безопасный режим" + "сеть". Но подключиться ни к чему через указанную оперу не смог - нет подключения...

[regist]

Всё-таки поставьте в настройках сетевого подключения получать DNS автоматически.

 

+

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

+ запустите проверку этой утилитой.

[Ключник]

Проверил.

Но последняя писала "всё проверено" и всё - логов я чё-то не обнаружил.

ВЛАДИМИР-ПК_2017-11-26_08-47-52.7z

[regist]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
• .

• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v400c
  BREG
  ;---------command-block---------
  delref HTTP://MAIL.RU/CNT/7993/
  delref %Sys32%\GWX\GWX.EXE
  delref HTTP://WWW.STARTPAGEING123.COM/?TYPE=HP&TS=1489517553&Z=CA24C457A08F9D426CC68DCGFZ0B7TAWDGCM9W7W1O&FROM=CHE0812&UID=SAMSUNGXHM250HI_S20TJFQZ712217
  delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_141\BIN\JP2IEXP.DLL
  delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_131\BIN\JP2IEXP.DLL
  delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
  delref F:\LAUNCHER.EXE
  delref %SystemDrive%\USERS\ВЛАДИМИР\DESKTOP\NEW_DRIVERS\DRIVER\INSTALLDRIVER.EXE
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
  delref %SystemDrive%\USERS\ВЛАДИМИР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DBFIPCJECAMGGJFABEACLACJOOHFJHHN\2.0.28_0\MEGABONUS - КЕШБЭК ДО 40%
  delref %SystemDrive%\PROGRAM FILES\INSTALLSHIELD INSTALLATION INFORMATION\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\SETUP.EXE
  delref G:\РАБОТА\СЕНТЯБРЬ\AMR TO MP3 CONVERTER\UNINS000.EXE
  delref %SystemDrive%\PROGRAM FILES\GOR\UNINST.EXE
  delref G:\РАБОТА\СЕНТЯБРЬ\AMR TO MP3 CONVERTER\AMRTOMP3CONVERTER.EXE
  deltmp
  apply
  
  restart
   

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может будет перезагружен.

• Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
• • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
  • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
• Введите sfc /scannow и нажмите Энтер.
• Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
• После того как закончится проверка в командной строке введите команду:

  findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt

• После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

Изменено 26 ноября, 2017 пользователем regist