Mail.ru засел

elenka · 20.07.2016, 19:04

Здравствуйте! Случайно скачала файл вместе с Амиго и прочими примочками mail.ru. Вроде все удалила, но периодически вылезает то тут, то там, то страница поиска mail, то еще что-то похожее. Проверьте, пожалуйста, лог от UVS.
Заранее спасибо!

elenka · 20.07.2016, 19:35

И оказалось при заходе на vk.com вылезает реклама, и не только при заходе туда, но и на некоторые другие сайты тоже.

safety · 20.07.2016, 19:57

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\BAMBOO DOCK\UNINST.EXE
chklst
delvir

deldirex %SystemDrive%\USERS\ЕЛЕНА\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDAANGLPCPKJJLKHCBLADPPJPHGLBIGAM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ЕЛЕНА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=802841

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

elenka · 21.07.2016, 04:13

сделала, но реклама осталась. Вроде где-то заметила, что это advmaker, но в расширениях браузера такого нет.
И еще, иногда бывает, что ищу что-то в гугле, нажимаю на ссылку, которую выдал гугл, а меня перекидывает на поиск.mail.ru и мой запрос там в строке уже вписан.

safety · 21.07.2016, 05:59

2.удалите все найденное в малваребайт
далее,
3.сделайте проверку в АдвКлинере
Как выполнить проверку в AdwCleaner?

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
Как создать логи FRST

elenka · 21.07.2016, 14:26

Все сделала, логи прикрепила. Реклама все равно осталась, правда уже все-таки поменьше, раньше еще выскакивало как будто сообщение из ВК. Сейчас пока не вижу его. А остальное (реклама в самой соцсети, всплывающее окно при первом заходе на этот форум, переход из гугла на mail.ru) осталось.

Гризлик · 21.07.2016, 14:50

Скопируйте код ниже в Блокнот

Код:

HKU\S-1-5-21-220905479-4150099255-517108354-1000\...\Run: [MailRuUpdater] => C:\Users\Елена\AppData\Local\Mail.Ru\MailRuUpdater.exe [5168856 2016-07-01] (Mail.Ru)
HKU\S-1-5-21-220905479-4150099255-517108354-1000\...\Run: [mrupdsrv] => C:\Users\Елена\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe [2187992 2016-07-01] (Mail.Ru)
HKU\S-1-5-21-220905479-4150099255-517108354-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=802851
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=802811","hxxps://www.google.com/"
R2 mrupdsrv; C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe [2187992 2016-07-01] (Mail.Ru)
2016-07-20 20:25 - 2016-07-20 20:25 - 00003080 _____ C:\Windows\System32\Tasks\MailRuUpdater
2016-07-20 20:25 - 2016-07-20 20:25 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2016-07-20 20:24 - 2016-07-21 17:16 - 00000000 ____D C:\Users\Елена\AppData\Local\Mail.Ru
2016-07-20 20:24 - 2016-07-20 21:40 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
2016-07-20 20:24 - 2016-07-20 21:40 - 00000000 ____D C:\ProgramData\Mail.Ru
2016-07-20 20:24 - 2016-07-20 20:25 - 00000000 ____D C:\Users\Елена\AppData\Roaming\MailProducts
Task: {2A2E08D2-DF09-4B25-8EE9-347332BDBEAE} - \{E2E426B0-4B7B-43D0-A294-2D1DE7F65FCD} -> No File <==== ATTENTION
Task: {A35ED153-D7F2-439E-8462-8633F26B46D0} - System32\Tasks\MailRuUpdater => C:\Users\Елена\AppData\Local\Mail.Ru\MailRuUpdater.exe [2016-07-01] (Mail.Ru)
EmptyTemp:
Reboot:

Сохраните его как файл fixlist.txt в папку с программой Farbar Recovery Scan Tool. Запустите Farbar Recovery Scan Tool и нажмите Fix.
После чего откроется файл лога fixlog.txt выложите его сюда

П.С.
Вам эти IP знакомы?

Код:

193.0.201.201
98.158.96.96

Если нет то выполните еще скрипт в UVS

Код:

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
setdns Reusable ISATAP Interface {43071E7D-9814-49AF-BC3E-00F1FD4A931D}\4\{43071E7D-9814-49AF-BC3E-00F1FD4A931D}\8.8.8.8,8.8.4.4
setdns Reusable ISATAP Interface {79F359FF-6553-4C48-A3B2-5BE749091B1D}\4\{79F359FF-6553-4C48-A3B2-5BE749091B1D}\8.8.8.8,8.8.4.4
setdns isatap.{203E015E-322C-4690-84BB-731224243021}\4\{5658E707-75D8-4888-B707-A600943A08E3}\8.8.8.8,8.8.4.4
setdns Беспроводное сетевое соединение 2\4\{9883D2B3-BC6B-40A1-8779-40B77E70226E}\8.8.8.8,8.8.4.4
setdns Беспроводное сетевое соединение 3\4\{7B0303F5-329A-495F-914A-92CB032CDF77}\8.8.8.8,8.8.4.4
setdns Беспроводное сетевое соединение\4\{203E015E-322C-4690-84BB-731224243021}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети\4\{86B2CA81-536C-4CC8-ADE9-40F8C749868B}\8.8.8.8,8.8.4.4
setdns Сетевое подключение Bluetooth\4\{43C5D59F-822C-4F13-8DE8-E5A954F87648}\8.8.8.8,8.8.4.4
deltmp
delnfr
restart

elenka · 21.07.2016, 16:47

Сделала, лог прилагаю. Айпишники мне неизвестны, так что скрипт тоже выполнила. Но реклама все равно осталась(((

elenka · 21.07.2016, 17:39

Понимаю, что бред, но может стоит попробовать переустановить хром? Может просто куда-то туда влезла эта гадость(

Гризлик · 21.07.2016, 19:37

Проблема только в хроме? В других браузерах (в IE например) реклама присутсвует?
Если только в хроме, то откройте вкладку (в адресной строке браузера наберите)

Код:

chrome://extensions

и отключите там все. Проверьте наличие рекламы.

21.07.2016, 19:37	#10 (permalink)
Гризлик Мимо проходил Регистрация: 06.04.2008 Сообщений: 13,130 Сказал(а) спасибо: 21 Поблагодарили 18 раз(а) в 5 сообщениях Репутация: 15356	Проблема только в хроме? В других браузерах (в IE например) реклама присутсвует? Если только в хроме, то откройте вкладку (в адресной строке браузера наберите) Код: chrome://extensions и отключите там все. Проверьте наличие рекламы.

20.07.2016, 19:04
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Участники форума уже создавали что то похожее, обратите внимание Засел trojan.tofsee В системе засел flashplayer

20.07.2016, 19:35	#2 (permalink)
elenka Member Регистрация: 14.07.2009 Сообщений: 212 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1	И оказалось при заходе на vk.com вылезает реклама, и не только при заходе туда, но и на некоторые другие сайты тоже.

21.07.2016, 05:59	#5 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	2.удалите все найденное в малваребайт далее, 3.сделайте проверку в АдвКлинере Как выполнить проверку в AdwCleaner? *** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить** далее, 5.сделайте проверку в FRST Как создать логи FRST

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

21.07.2016, 17:39	#9 (permalink)
elenka Member Регистрация: 14.07.2009 Сообщений: 212 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1	Понимаю, что бред, но может стоит попробовать переустановить хром? Может просто куда-то туда влезла эта гадость(