И опять реклама в браузере

Alex-33 · 17.01.2017, 14:11

Еще один комп из "я ничего не делала, все само!!!"
Было много лишнего ПО - удалил Revo-ой. Остались "хвосты" в виде рекламы в браузере.
Вот лог uVS:

Замечание:

Правила форума, п.2.1:

Цитата:

Создавайте темы с осмысленным названием, топики с заглавием ПОМОГИТЕ!!!!!!!!!! будут удаляться.

Начать, что ли, удалять, как предписано, вместо того, чтобы без конца редактировать эти "Помогите!", "Help!!!" и т.п. Как Вы думаете?

Модератор

Alex-33 · 17.01.2017, 14:44

Прошу простить, поторопился. Впредь буду внимательнее и аккуратнее.

safety · 18.01.2017, 06:03

@Alex-33,

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %Sys32%\PKEY.EXE
addsgn 9252772A156AC1CC0BB4514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Backdoor

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\{936D4A34-24C6-FD9F-ADFD-EDD02E2C3570}\91410AD5-26EA-BD7E-A380-034BCB1089CD.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\{936D4A34-24C6-FD9F-ADFD-EDD02E2C3570}\91410AD5-26EA-BD7E-A380-034BCB1089CD.EXE

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\MANAGER\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

;delref %Sys32%\IHCTRL32.DLL
;del %Sys32%\IHCTRL32.DLL

del %SystemDrive%\DOCUMENTS AND SETTINGS\MANAGER\APPLICATION DATA\BROWSERS\EXE.REHCNUAL.BAT

del %SystemDrive%\DOCUMENTS AND SETTINGS\MANAGER\APPLICATION DATA\BROWSERS\EXE.RESWORBOEDIV.BAT

regt 28
regt 29
; Java(TM) 6 Update 6
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

Alex-33 · 18.01.2017, 15:03

Malwarebytes проверяет с утра. Нашел 67 угроз завис на 45834 файле
c:\windows\microsoftnet\framework\v2.0.50727\micro soft.build.engine.dll

Что делать?

Alex-33 · 18.01.2017, 16:07

Перегрузил, вот отчет.

Alex-33 · 18.01.2017, 16:42

Забыл указать, что началось с того, что комп переставал видеть сеть. А когда я полез "чистить", то обнаружил, что DNS-сервера не наши.

safety · 19.01.2017, 06:04

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
Как выполнить проверку в AdwCleaner?

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
Как создать логи FRST

Alex-33 · 19.01.2017, 10:10

Вот отчеты:
После AdwCleaner (или Malwarebytes, не успел уловить точно) поменялись сервера DNS на 8.8.8.8
Сейчас реклама в браузере исчезла.

safety · 20.01.2017, 05:47

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
EmptyTemp:
Reboot:

Alex-33 · 20.01.2017, 09:50

Вот отчет:

20.01.2017, 05:47	#9 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Код: GroupPolicy: Restriction ? <======= ATTENTION GroupPolicy\User: Restriction ? <======= ATTENTION EmptyTemp: Reboot:

17.01.2017, 14:11
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Очень полезно сначала прочитать схожие темы Опять вирус, реклама в браузере Опять эта реклама...(( Реклама в браузере опять реклама

17.01.2017, 14:44	#2 (permalink)
Alex-33 Member Регистрация: 05.05.2010 Сообщений: 151 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Прошу простить, поторопился. Впредь буду внимательнее и аккуратнее.

18.01.2017, 15:03	#4 (permalink)
Alex-33 Member Регистрация: 05.05.2010 Сообщений: 151 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Malwarebytes проверяет с утра. Нашел 67 угроз завис на 45834 файле c:\windows\microsoftnet\framework\v2.0.50727\micro soft.build.engine.dll Что делать?

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

18.01.2017, 16:42	#6 (permalink)
Alex-33 Member Регистрация: 05.05.2010 Сообщений: 151 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Забыл указать, что началось с того, что комп переставал видеть сеть. А когда я полез "чистить", то обнаружил, что DNS-сервера не наши.

19.01.2017, 06:04	#7 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	2.удалите все найденное в малваребайт перегрузите систему далее, 3.сделайте проверку в АдвКлинере Как выполнить проверку в AdwCleaner? *** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить** далее, 5.сделайте проверку в FRST Как создать логи FRST