Открываются новые вкладки с рекламой

@Caty · Регистрация: 19.05.2015

Author24 — интернет-сервис помощи студентам

При нажатии в любом месте окна браузера открываются новые вкладки Казино, МММ и т.п.. Невозможно раюотать помогите пожалуйста. Логи во вложении

@Sandor · 24.06.2015, 14:02

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Caty. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\Екатерина\local settings\application data\kometa\kometaup.exe');
 QuarantineFile('C:\Documents and Settings\Екатерина\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('c:\documents and settings\Екатерина\local settings\application data\kometa\kometaup.exe','');
 QuarantineFile('C:\Documents and Settings\Екатерина\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '');
 DeleteFile('c:\documents and settings\Екатерина\local settings\application data\kometa\kometaup.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Documents and Settings\Екатерина\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk','32');
 DeleteFile('C:\Documents and Settings\Екатерина\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','KRB Updater Utility');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dwyzvbrkjk');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки выполните такой скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

4. Подготовьте лог сканирования AdwCleaner.

@Caty · 24.06.2015, 16:17 **[ТС]**

Первые три пункта выполнила

@Sandor · 24.06.2015, 16:19

Ждем четвертый.

@Caty · 24.06.2015, 16:24 **[ТС]**

выполнила

@Sandor · 24.06.2015, 16:25

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

Далее:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Caty · 24.06.2015, 16:45 **[ТС]**

Отчет

@Caty · 24.06.2015, 16:52 **[ТС]**

FRST.exe выдало ошибку и закрыло программу

@Sandor · 24.06.2015, 16:55

Сообщение от Caty

выдало ошибку

Покажите скриншот.

@Caty · 24.06.2015, 17:00 **[ТС]**

Повторно запустила прошло без ошибки, теперь не могу файл shortcut найти

Добавлено через 27 секунд
галочку я ставила и он открывался в блокноте а сам файл теперь не найду

@Sandor · 24.06.2015, 17:03

Ок, давайте первые два.

@Caty · 24.06.2015, 17:04 **[ТС]**

Вроде получилось с третьей попытки

@Sandor · 24.06.2015, 17:09

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1214440339-1682526488-682003330-1003\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (Сейвер аудио-треков) - C:\Documents and Settings\Екатерина\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dgomkalehojkboojhjkkiplfagabokmf [2015-05-08]
OPR Extension: (Сейвер аудио-треков) - C:\Documents and Settings\Екатерина\Application Data\Opera Software\Opera Stable\Extensions\dgomkalehojkboojhjkkiplfagabokmf [2015-05-08]
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

У Вас установлена тестовая версия Хром. Удалите, желательно с зачисткой. Затем (при необходимости) скачайте и установите стандартную.

@Caty · 24.06.2015, 20:12 **[ТС]**

Сделала, хром удалила через установку и удаление программ

@Sandor · 25.06.2015, 08:34

Что с проблемой?

@Caty · 25.06.2015, 14:08 **[ТС]**

За вчерашний день и сегодняшний вечер проблема не наблюдается. Спасибо

@Sandor · 25.06.2015, 14:33

Вот и хорошо.

В завершение:

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Caty · 26.06.2015, 14:21 **[ТС]**

Сделала

@Sandor · 26.06.2015, 14:34

Проверьте, есть ли в Панели управления - Установка/удаление программ - ZaxarGameBrowser

Если есть, удалите.

--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 17 NPAPI v.17.0.0.188 Внимание! Скачать обновления
Adobe Flash Player 17 PPAPI v.17.0.0.188 Внимание! Скачать обновления
Adobe Reader X (10.1.0) - Russian v.10.1.0 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Уязвимости MS Office взяты из скрипта: http://dataforce.ru/~kad/ScanVuln.txt
SetKillBit: {F0E42D50-368C-11D0-AD81-00A0C90DC8D9}
SetKillBit: {F2175210-368C-11D0-AD81-00A0C90DC8D9}
SetKillBit: {0002E543-0000-0000-C000-000000000046}
SetKillBit: {0002E55B-0000-0000-C000-000000000046}
SetKillBit: {0002E541-0000-0000-C000-000000000046}
SetKillBit: {0002E559-0000-0000-C000-000000000046}
Уязвимость компонента Microsoft Graphics делает возможным удаленное выполнение кода Скачать обновления

@Sandor 22309 / 15790 / 3051 Регистрация: 08.10.2012 Сообщений: 64,208
	24.06.2015, 17:09	13
	Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните. Код start CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-1214440339-1682526488-682003330-1003\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR Extension: (Сейвер аудио-треков) - C:\Documents and Settings\Екатерина\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dgomkalehojkboojhjkkiplfagabokmf [2015-05-08] OPR Extension: (Сейвер аудио-треков) - C:\Documents and Settings\Екатерина\Application Data\Opera Software\Opera Stable\Extensions\dgomkalehojkboojhjkkiplfagabokmf [2015-05-08] EmptyTemp: Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. У Вас установлена тестовая версия Хром. Удалите, желательно с зачисткой. Затем (при необходимости) скачайте и установите стандартную. 1

Новые блоги и статьи
Что такое HCL Notes и как с ним работать InfoMaster 10.01.2025 HCL Notes (ранее известный как IBM Notes и Lotus Notes) представляет собой комплексную платформу для совместной работы и обмена информацией в корпоративной среде. Это многофункциональное решение,. . .	Как работать с Git из Windows и Visual Studio InfoMaster 10.01.2025 Работа с Git в Windows Работа с Git в операционной системе Windows может быть осуществлена с помощью различных инструментов, каждый из которых обладает своими уникальными возможностями и. . .	Аналог оператора switch case в Python InfoMaster 10.01.2025 Оператор switch case используется в программировании для выбора одного из нескольких вариантов исполнения кода. Однако в языке Python этот оператор отсутствует. Понимание аналогов switch case в. . .	Отличия абстрактного класса от интерфейса InfoMaster 10.01.2025 В современной разработке программного обеспечения существуют два основных механизма реализации абстракции: абстрактные классы и интерфейсы. Эти инструменты, хотя и схожи в своей основной цели -. . .	Как работать в Git InfoMaster 10.01.2025 Git — это одна из наиболее популярных систем контроля версий, которая активно используется разработчиками по всему миру. Она позволяет эффективно управлять изменениями в коде, координировать работу. . .	Реализация передвижения персонажа в Unity3d на C# InfoMaster 10.01.2025 Реализация передвижения персонажа в Unity3D начинается с правильной настройки проекта. Этот этап критически важен для создания отзывчивого и плавного управления. Рассмотрим основные шаги для создания. . .
Docker: руководство для начинающих InfoMaster 10.01.2025 В современном мире разработки программного обеспечения контейнеризация стала неотъемлемой частью процесса создания и развертывания приложений. Docker, как ведущая платформа контейнеризации, произвела. . .	Книги и учебные ресурсы по C# InfoMaster 08.01.2025 Базовые учебники и руководства Одной из лучших книг для начинающих является "C# 10 и . NET 6 для начинающих" Эндрю Троелсена и Филиппа Джепикса . Книга последовательно раскрывает основные концепции. . .	Что такое NullReferenceException и как исправить? InfoMaster 08.01.2025 NullReferenceException - одно из самых распространенных исключений, с которым сталкиваются разработчики на C#. Это исключение возникает при попытке обратиться к членам объекта (методам, свойствам или. . .	Что такое Null Pointer Exception (NPE) и как это исправить? InfoMaster 08.01.2025 Null Pointer Exception (NPE) - это одно из самых распространенных исключений в Java, которое возникает при попытке использовать ссылку на объект, значение которой равно null. Это исключение относится. . .	Русский язык в консоли C++ InfoMaster 08.01.2025 При разработке программ на C++ одной из частых проблем, с которой сталкиваются русскоязычные программисты, является корректное отображение кириллицы в консольных приложениях. Эта проблема особенно. . .	Telegram бот на C# InfoMaster 08.01.2025 Разработка ботов для Telegram стала неотъемлемой частью современной экосистемы мессенджеров. C# предоставляет мощный и удобный инструментарий для создания разнообразных ботов, от простых. . .

@Sandor 22309 / 15790 / 3051 Регистрация: 08.10.2012 Сообщений: 64,208
	24.06.2015, 14:02	2
	Сообщение было отмечено Caty как решение Решение Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Caty. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ 1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\Екатерина\local settings\application data\kometa\kometaup.exe'); QuarantineFile('C:\Documents and Settings\Екатерина\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe',''); QuarantineFile('c:\documents and settings\Екатерина\local settings\application data\kometa\kometaup.exe',''); QuarantineFile('C:\Documents and Settings\Екатерина\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', ''); DeleteFile('c:\documents and settings\Екатерина\local settings\application data\kometa\kometaup.exe','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe','32'); DeleteFile('C:\Documents and Settings\Екатерина\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk','32'); DeleteFile('C:\Documents and Settings\Екатерина\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','KRB Updater Utility'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dwyzvbrkjk'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. Компьютер перезагрузится. 2. После перезагрузки выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 3. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 4. Подготовьте лог сканирования AdwCleaner. 1

@Sandor 22309 / 15790 / 3051 Регистрация: 08.10.2012 Сообщений: 64,208
	24.06.2015, 16:19	4
	Ждем четвертый. 1

@Sandor 22309 / 15790 / 3051 Регистрация: 08.10.2012 Сообщений: 64,208
	24.06.2015, 16:25	6
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите. Далее: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Caty 6 / 6 / 1 Регистрация: 19.05.2015 Сообщений: 225
	24.06.2015, 16:52 [ТС]	8
	FRST.exe выдало ошибку и закрыло программу 0

@Sandor 22309 / 15790 / 3051 Регистрация: 08.10.2012 Сообщений: 64,208
	24.06.2015, 16:55	9
	Сообщение от Caty выдало ошибку Покажите скриншот. 1

@Caty 6 / 6 / 1 Регистрация: 19.05.2015 Сообщений: 225
	24.06.2015, 17:00 [ТС]	10
	Повторно запустила прошло без ошибки, теперь не могу файл shortcut найти Добавлено через 27 секунд галочку я ставила и он открывался в блокноте а сам файл теперь не найду 0

@Sandor 22309 / 15790 / 3051 Регистрация: 08.10.2012 Сообщений: 64,208
	24.06.2015, 17:03	11
	Ок, давайте первые два. 0

@Sandor 22309 / 15790 / 3051 Регистрация: 08.10.2012 Сообщений: 64,208
	25.06.2015, 08:34	15
	Что с проблемой? 1

@Caty 6 / 6 / 1 Регистрация: 19.05.2015 Сообщений: 225
	25.06.2015, 14:08 [ТС]	16
	За вчерашний день и сегодняшний вечер проблема не наблюдается. Спасибо 0

@Sandor 22309 / 15790 / 3051 Регистрация: 08.10.2012 Сообщений: 64,208
	25.06.2015, 14:33	17
	Вот и хорошо. В завершение: Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

	26.06.2015, 14:34

Открываются новые вкладки с рекламой

Решение