Технический форум

Технический форум (http://www.tehnari.ru/)
-   Форум по вирусам и антивирусам (http://www.tehnari.ru/f183/)
-   -   Беспокоит реклама (http://www.tehnari.ru/f183/t258105/)

elena2018 12.02.2018 10:28

Беспокоит реклама
 
Вложений: 2
Здравствуйте! Беспокоит реклама ( открывающиеся ссылки в браузере и баннеры в половину страницы браузера ), мэйл, одноклассники, вк, какой-то "lite" и тд. Помогите удалить эту ерунду tehno036

Гризлик 12.02.2018 22:34

ВЫполните скрипт в AVZ
Код:

begin
SetAVZPMStatus(True);
 QuarantineFile('c:\programdata\mysampleservice\sys.exe','');
 QuarantineFile('c:\programdata\tiser\run.exe','');
 QuarantineFile('c:\programdata\prefssecure\nettrans.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\lumsystem\Luminati\net_svc.exe','');
 QuarantineFile('c:\users\user\appdata\local\mail.ru\mailruupdater.exe','');
 QuarantineFile('C:\Users\user\AppData\Local\lumsystem\lumsystem.exe','');
 DeleteFile('c:\programdata\appmallosayov\appmallosayov.exe','32');
 BC_DeleteFile('C:\Users\user\AppData\Local\lumsystem\lumsystem.exe');
 DeleteFile('c:\users\user\appdata\local\mail.ru\mailruupdater.exe','32');
 DeleteFile('C:\Users\user\AppData\Local\lumsystem\Luminati\net_svc.exe','32');
 DeleteFile('c:\programdata\prefssecure\nettrans.exe','32');
 DeleteFile('c:\programdata\tiser\run.exe','32');
 DeleteFile('c:\programdata\mysampleservice\sys.exe','32');
 DeleteFile('C:\ProgramData\MySampleService\sys.exe','32');
 DeleteFile('C:\ProgramData\AppmallosayoV\AppmallosayoV.exe','32');
 DeleteFile('C:\ProgramData\tiser\run.exe','32');
 DeleteFile('C:\ProgramData\PrefsSecure\Nettrans.exe','32');
 DeleteFile('explorer.exe,msiexec.exe /i http://point.ltdmsjq.com/?data=zDlkMj1WFjw2MdRYFjY3FjF4RUQQMTY4RYRYNTM1F8FyRWM4Rq== /q','32');
 DeleteFile('C:\Windows\System32\rundll32.exe url,FileProtocolHandler http://www.mail.ru/cnt/20775012?gp=','32');
 DeleteFile('C:\Windows\SysWOW64\regsvr32.exe  /n /s /i:/52d7db659c384df7 /q C:\Users\user\AppData\Local\0FB3B0~1\{99338~1.','32');
 DeleteFile('C:\Windows\system32\regsvr32.exe  /s /n /i:/rt C:\PROGRA~3\af8235af\993380d4.dll','32');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
end.

После перезагрузки выложите образ автозапуска

elena2018 13.02.2018 09:12

Вложений: 1
Здравствуйте)

Гризлик 13.02.2018 09:35

Прям рассадник вирусов
Скопируйте код ниже в буфер обмена.
Закройте все браузеры.
Запустите UVS под текущим пользователем.
В меню: Скрипты----Выполнить из буфера обмена
Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
setdns Беспроводное сетевое соединение 2\4\{96A810DB-F783-4DEB-BAF3-7010908C4123}\8.8.8.8,8.8.4.4
setdns Беспроводное сетевое соединение\4\{4EAD2CB8-9446-49A2-90C5-AB2BF5C78A4E}\8.8.8.8,8.8.4.4
setdns Сетевое подключение Bluetooth\4\{7F298653-0D43-4190-91D3-2EDF81C3EA14}\8.8.8.8,8.8.4.4
delref %SystemDrive%\PROGRAMDATA\APPMALLOSAYOV\STRONGAIR.DLL
delref %SystemDrive%\PROGRAMDATA\APPMALLOSAYOV\SUMEX.DLL
delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=
delref %SystemDrive%\PROGRAMDATA\APPMALLOSAYOVS\FF.HP
delref %SystemDrive%\PROGRAMDATA\APPMALLOSAYOVS\FF.NT
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID=%7B7E10629B-E64D-4E53-946A-A8182BCD4D07%7D&GP=822363
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID=%7BC9529446-0E43-4975-8D90-D7885F21E5A1%7D&GP=822363
delref HTTPS://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBRHOJYN9_5EDL7QPPMXLVOCDRHYVQM9U5-SRTDAUDEDMC_8UKCOXB0LZ4E-TGPEFEP95SU065JPPAHUMOHJM_TLD_2IJTWRZRH1BJWA04FRMO0BEXFRXEA7QRZTAC5KGGQUDKWXI_VMSIOOVGUVIPZBVHC-EBCJBAL0UKWEDFJKU7TDQKXA
delref HTTPS://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBRHOJYN9_5EDL7QPPMXLVOCDRHYVQM9U5-SRTDAUDEDMC_8UKCOXB0LZ4E-TGPEFEP95SU065JPPAHUMOHJM_TLD_2IJTWRZRLDUNBFZ9ZDTM_UEDMAUENEWHOFMOSU-JKCK17TC0QG_2QZZKU-86IM4OQJUGKV1XWUQPMJANOIEEDPMDNW
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGOMNBPELPCDICBNICIMGHCECEMJPBEF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILHAPDFJLMHFDGDBEFPINEBIJMHJIJPN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKPPACDMMDDEDIAHKLMCGKGDHHOOJEMMD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\51.0.2704.3342\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\51.0.2704.3342\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delall %SystemDrive%\PROGRAMDATA\AF8235AF\993380D4.DLL
delall %SystemDrive%\PROGRAMDATA\VOYASOLLAM\AN-LAX.DLL
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
delall %SystemDrive%\PROGRAM FILES\JETMEDIA\NATIVEDESKTOPMEDIASERVICE\CHECKER.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\DPMDBG.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\0FB3B0B0-56F6-0580-3443-C6B88FAC62FD\{993380D4-B57B-36B1-6430-80968DE33133}
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\GPLYRA\GPLYRA\GPLYRA.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\SSN\SAVEUP.EXE
delall %SystemDrive%\PROGRAMDATA\APPMALLOSAYOV\TONJOB.EXE
delall %SystemDrive%\PROGRAMDATA\APPMALLOSAYOV\TRANTAX.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GLORY\GLORY.DLL
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MINERENT\WUTEGHTPLEJIPY.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\ANOETION\YAUPDCACHE.EXE
regt 12
regt 27
deltmp
delnfr
restart

После перезагрузки выполните сканирование в Malwarebytes

После выполнения предыдущего скрипта и перезагрузки ПК Выполните в UVS еще этото скрипт
Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
deldir %SystemDrive%\PROGRAMDATA\APPMALLOSAYOV
deldir %SystemDrive%\USERS\USER\APPDATA\LOCAL\MAIL.RU
deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\GPLYRA\GPLYRA
deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\SSN
deldir %SystemDrive%\PROGRAMDATA\AF8235AF
deldir %SystemDrive%\PROGRAM FILES (X86)\YTUBEABLCKU
deldir %SystemDrive%\USERS\USER\APPDATA\LOCAL\GLORY
deldir %SystemDrive%\USERS\USER\APPDATA\LOCAL\0FB3B0B0-56F6-0580-3443-C6B88FAC62FD
deldir %SystemDrive%\PROGRAM FILES (X86)\ONESYSTEMCARE
deldir %SystemDrive%\PROGRAMDATA\E3875AF5-0793-1
deldir %SystemDrive%\PROGRAMDATA\E3875AF5-2BD3-0
deldir %SystemDrive%\PROGRAMDATA\E3875AF5-31A3-0
deldir %SystemDrive%\PROGRAMDATA\E3875AF5-7943-1
deldir %SystemDrive%\PROGRAM FILES (X86)\MSEARCHU
deldir %SystemDrive%\PROGRAM FILES (X86)\ANOETION
deltmp
delnfr
restart


elena2018 13.02.2018 14:34

Вложений: 1
Реклама не ушла, вк и др. также присутствуют :sigh::sigh::sigh:

Гризлик 13.02.2018 15:12

Все найденое в Malwarebytes удалить.


далее,
сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
в АдвКлинере, после завершения проверки,
снимите галки с записей yandex (если есть такие и вы ими пользуетесь)
остальное удалите по кнопке Очистить лог выкладывать не нужно.
далее,

сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

elena2018 13.02.2018 15:54

Вложений: 2
Одноклассники, вк, мэйл ушли, остался Lite
Я не знаю что это такое, поэтому даже запускать его не буду )

Гризлик 13.02.2018 16:24

Вложений: 1
Скачайте fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! И проверьте проблему

Цитата:

Сообщение от elena2018 (Сообщение 2556199)
остался Lite

Удалите его через Панель управления --> Программы и компоненты

elena2018 13.02.2018 16:34

Вложений: 1
Реклама вроде бы исчезла :apl:

Гризлик 13.02.2018 16:43

Тогда на этом все.
И антивирус какой-нибудь поставьте


Часовой пояс GMT +4, время: 20:01.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.