Браузер самопроизвольно запускается

tvv26 · 25.10.2016, 15:02

Добрый день.
Я далеко походу не первый, не все понял....но скачал uVS и проделал данную операцию по сохранению образа. Помогите избавить от самопроизвольного запуска Яндекс браузера....бывает уже в нем работаешь и открывается новое окно, а так же открывается еще новая вкладка с рекламой спонсора!?! видел тему чуть ниже про zodiac-game....если что для решения с ним готов обратиться в нужную ветку. Заранее спасибо.

safety · 25.10.2016, 17:48

+
добавьте в архиве рег файл этого клюа из реестра.

Цитата:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks

в регедите необходимо найти указанную ветку реестра, переместить курсор на поле TASKS, и правой кнопкой мыши выполнить функцию эспортировать ветку реестра в файл.

посмотрите как это сделать на рисунке.

http://www.tehnari.ru/attachments/f3...49-regedit.jpg

tvv26 · 25.10.2016, 18:11

а что именно добавить? не совсем понял о ветке....

tvv26 · 25.10.2016, 18:15

в реге файл Tasks найден, экспортировать ветку реестра в файл-это что означает?

safety · 25.10.2016, 18:42

нажмите - "экспортировать".

это значит что в файл с расширением reg будет записана информация из реестра по данному ключу (tasks). эта инфо необходима для анализа.

данный reg файл затем добавьте в архив rar и поместите на форум так же как образ автоазапуска.

tvv26 · 25.10.2016, 19:24

вроде получилось, я подумал что в реестр нужно что то экспортировать, а не из него

safety · 25.10.2016, 19:35

ок, то что нужно.
сейчас добавлю скрипт в uVS в следующее сообщение.
после выполнения скрипта сделайте новый экспорт этого же ключа в файл и в архив, и на форум.

safety · 25.10.2016, 19:46

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\FUPDATE\FUPDATE.EXE
addsgn 1A26739A5583CC8CF42B5194B849530570011000CCF21E2E0E3202BA3C51304C571DA95B68BDA3B5D47FDDC6CDD017A7BFDBE8BE99167C7DA03B8027ECCEA192 8 Win32/Adware.RuKoma

zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\POWERMONITOR\POWERMONITOR.EXE
addsgn A7679BF0AA02444640D4C6AD4F881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C5FA0CE9F75C4C32EF4CA685219DA3BE4AC965B2FC706AB7E 8 Win32/Adware.RuKoma

zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE
addsgn 1AE2B39A5583338CF42B464E1BC8128EF501BE9AB2FF2B67C0C3B1ACDBDB89536617461D4E2098A1B7F6849FCD564D3995069772555160A76F1B9F2AF3196773 8 Win32/Adware.SearchGo

zoo %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO\SPACESOUNDPRO.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B8D12B4D235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42FC7CAEEBF 64 Win64/BubbleSound

zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DOCUMENTS\SOSED_KO.EXE
addsgn 1A0F8965AA598C225B84FE59DAE31205E6DCAB7DF5DE13F374480A356E3EA1EBDCE84A1136DCCB45A00798934616C0BC6D8063B40B18B42CA6B62F274C563248 13 Backdoor:Win32/Monakroaf.A

zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

delref DTQRFG.
delall %SystemDrive%\PROGRAM FILES\ADVANCED PC CARE\ADVANCEDPCCARE.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://GRANENA.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=E739009BCCD5F1E6D71A91BFF5994529&UTM_TERM=C6BB2DB4B886DB67AF482CED90A90B97&UTM_D=20160524

delref HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

delref EXPLORER.EXE HTTP://SD-STEAM.INFO

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

deldirex %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC

delref HTTP://SD-STEAM.INFO

deldirex %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\MEDIAGET2\PLATFORMS

deldirex %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\MEDIAGET2

delref HTTP:\\WWW.YOURSITES123.COM\?TYPE=SC&TS=1457969411&Z=C2CDBFC63AB652E324B3999G4Z1W0M0TBQ7TEZEG0E&FROM=WPM0314&UID=395049983_6295328_BF06045C

deldirex %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2

regt 27
; AnySend
exec  C:\Users\Пользователь\AppData\Roaming\ASPackage\Uninstall.exe
; GamesDesktop 033.005010219
exec  C:\Program Files (x86)\gmsd_ru_005010219\gmsd_ru_005010219 - uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
+ это

Цитата:

сейчас добавлю скрипт в uVS в следующее сообщение.
после выполнения скрипта сделайте новый экспорт этого же ключа (Tasks) в файл и в архив, и на форум.

+
выполните быстрое сканирование (угроз) в Malwarebytes

tvv26 · 25.10.2016, 20:23

Вроде пока норм, при включении нет самозапускаемого яндекса и спонсорских окон...
сейчас сканирую отденльной Вашей програмкой Malwarebytes Free

tvv26 · 25.10.2016, 20:39

отчет сканирования Malwarebytes Free

25.10.2016, 18:11	#3 (permalink)
tvv26 Member Регистрация: 25.10.2016 Сообщений: 12 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	а что именно добавить? не совсем понял о ветке....

25.10.2016, 18:15	#4 (permalink)
tvv26 Member Регистрация: 25.10.2016 Сообщений: 12 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	в реге файл Tasks найден, экспортировать ветку реестра в файл-это что означает?

25.10.2016, 18:42	#5 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	нажмите - "экспортировать". это значит что в файл с расширением reg будет записана информация из реестра по данному ключу (tasks). эта инфо необходима для анализа. данный reg файл затем добавьте в архив rar и поместите на форум так же как образ автоазапуска.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

25.10.2016, 19:35	#7 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	ок, то что нужно. сейчас добавлю скрипт в uVS в следующее сообщение. после выполнения скрипта сделайте новый экспорт этого же ключа в файл и в архив, и на форум.