Технический форум

Технический форум (http://www.tehnari.ru/)
-   Форум по вирусам и антивирусам (http://www.tehnari.ru/f183/)
-   -   Браузер сам открывает страницы с рекламой (http://www.tehnari.ru/f183/t250231/)

elgon 22.11.2016 23:38
Браузер сам открывает страницы с рекламой
 
Вложений: 1
Жена что-то скачала и теперь периодически выскакивает новая вкладка internetwait.com/hotoffsm, которую блокирует NOD32. Браузер Firefox. Помогите пожалуйста избавиться от этой нечисти.

safety 23.11.2016 06:14
1. скачайте актуальную версию uVS отсюда:
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

2. скрипт необходимо выполнить актуальной версией uVS

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\MAX\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

hide %SystemDrive%\PROGRAM FILES (X86)\ASHAMPOO UNINSTALLER 6\UI6.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\MAX\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\MAX\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\MAX\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\USERS\MAX\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\TSERVERINFO

delref HTTP://INTERNETWAIT.COM/HOTOFFSM

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

elgon 23.11.2016 17:16
Вложений: 1
uVS установил, скрипт выполнил, перезагрузил выскачило окно с вопросом "Запустить этот файл?" Имя: c:\Users\max\AppData\Local\Mail.Ru\Sputnik\ptls\ma ilruhomesearch.exe Издатель: MALITEK. После запуска Firefox Nod32 снова заблокировал вкладку internetwait.com/hotoffsm (я мог не закрыть ее перед последним выходом из браузера). Прикрепляю результат сканирования в Malwarebytes.

safety 23.11.2016 18:07
1. добавьте в следующее сообщение лог выполнения скрипта uVS
это файл с именем дата_времяlog.txt в папке, откуда вы запускаете uVS

2. по логу малваребайт:
это оставьте в мбам
Цитата:
RiskWare.IStealer, C:\Windows\KMSAuto.exe, , [9e163a8985152d090120c4b36c95a060],
остальное удаляем,

далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

elgon 24.11.2016 09:46
Вложений: 4
AdwCleaner находит 70 угроз, но когда нажимаю очистить ничего не происходит, ноутбук зависает и выключить его получается только долгим нажатием на кнопку ВКЛ.

safety 24.11.2016 10:39
судя по логу FRST у вас два установленнх антивируса: ESET и Trendo
рекомендуем один из антивирусов деинсталлировать, иначе система будет притормаживать, когда антивирусы вцепятся проверять один и тот же файл.

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (Ultimate Discounter) - C:\Users\max\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2016-11-20]
CHR Extension: (Tampermonkey) - C:\Users\max\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-11-20]
CHR Extension: () - C:\Users\max\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-11-23]
OPR Extension: (Tampermonkey) - C:\Users\max\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-11-20]
Task: {C7F345FA-3A1A-43BD-9768-40A6A06BDB2F} - \InternetAA -> No File <==== ATTENTION
EmptyTemp:
Reboot:

elgon 24.11.2016 17:53
Вложений: 2
Удалил Trendo. Попробовал еще раз сделать очистку с помощью АдвКлинер. Получилось! Затем создал Fixlog. Отчеты прикрепляю.

safety 24.11.2016 20:00
закрываем уязвимости, обновляем программы, наблюдаем за проблемой
http://www.tehnari.ru/f150/t83677/

elgon 27.11.2016 14:28
Спасибо за помощь. Реклама выскакивать перестала. Но теперь стали выскакивать сообщения типа: "Невозможно прочитать настройки. Будут созданы настройки по умолчанию.", "Прекращена работа программы проводник." Медиагет пропал... Похоже придется переустанавливать винду(

safety 27.11.2016 15:03
по этим ошибкам уточните, в каких случаях они появляются.
Цитата:
Но теперь стали выскакивать сообщения типа: "Невозможно прочитать настройки. Будут созданы настройки по умолчанию."
mediaget был удален скриптом. поскольку антивирусные компании считают его является нежелательной программой. и часто создает проблемы при работе браузеров в сети.
(если вы не можете без него обходиться, тогда установите заново.)

по сообщениям.
сделайте очистку в ccleaner возможно ошибки уйдут.


Часовой пояс GMT +4, время: 19:50.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.