Реклама в браузере

[AndrewGO777]

День добрый! Сегодня каким-то случайным образом скачал файл на пк, далее он сам распаковался и только потом аваст забил тревогу, но уже был бессилен.
Проблема в следующем:
1. Установилась целая куча хлама типа спутник, комета, маил поиск, какой-то секьюрити и тд и тп.
Это все вроде бы поудалял через "Уст и удал прогр" но не уверен, что полностью.
2. В браузерах теперь ТОННЫ рекламы на любых сайтах - баннеры, блокировка флеш плееров, ютуб видео, джава скрипты и все тому подобное.

Как бороться подскажите пожалуйста

[RP55.RP55]

Вниманию пришедших за помощью!
http://pchelpforum.ru/f26/t6442/
Нужен образ автозапуска в программе uVS
-----------
образ можно сделать из безопасного режима системы

[AndrewGO777]

Цитата:

Сообщение от RP55.RP55

Вниманию пришедших за помощью!
http://pchelpforum.ru/f26/t6442/
Нужен образ автозапуска в программе uVS
-----------
образ можно сделать из безопасного режима системы

http://files.webfile.ru/67bc2f2a62aa...68dc14dd15d49f

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\IOBIT\LIVEUPDATE\IOBITLAUNCHER.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB5476327809CFFAF76DE53A3A8F908319233F50C333C165F9C00B68DA42B9E9CD3A725B727055DA5845F0885BAB0709A6FE 16 Program.Unwanted.276 [DrWeb]

zoo %SystemDrive%\USERS\ANDREW\APPDATA\LOCAL\KOMETA\KOMETAUP.EXE
addsgn 1A99DB9A5583C58CF42B254E3143FE54A6EF00F6DF775A84D53CB0B0AFA379A4D2BBC357B5A51E8D270572EA5E2F0C0609CC008141DAB0A9ED03AEC72D122273 8 Trojan.LoadMoney.681 [DrWeb]

delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\LIVEUPDATE\LIVEUPDATE.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\ANDREW\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref {10921475-03CE-4E04-90CE-E2E7EF20C814}\[CLSID]

del %SystemDrive%\USERS\ANDREW\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALVNTUOLLAF.BAT

del %SystemDrive%\USERS\ANDREW\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT

del %SystemDrive%\USERS\ANDREW\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT

regt 28
regt 29
; Surfing Protection
exec  C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
; VTope, версия 1.0
exec  D:\VTope\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

[AndrewGO777]

что-то не помогло((

[RP55.RP55]

Далее выполните лог программой Malwarebytes
http://pchelpforum.ru/showpost.php?p=206554&postcount=6

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Отчёт залейте на: http://rghost.ru или http://exfile.ru

[AndrewGO777]

http://exfile.ru/476945

[safety]

в архиве добавить лог файла. браузеры блокируют загрузку файла в txt

[RP55.RP55]

1) В Malwarebytes - чисто.

safety - в браузере есть кнопка разблокировать. ( в самих загрузках - по нужной строке правой лапой мыши )
-------------

2) Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html

[AndrewGO777]

http://exfile.ru/476947 - AdwCleaner LOG
http://exfile.ru/476948 - FRST
http://exfile.ru/476949 - Addition

---------- Добавлено в 18:43 ---------- Предыдущее сообщение было написано в 18:37 ----------

Цитата:

Сообщение от safety

в архиве добавить лог файла. браузеры блокируют загрузку файла в txt

в смысле? не понял(

---------- Добавлено в 18:50 ---------- Предыдущее сообщение было написано в 18:43 ----------

так. в опере в расширениях отключил какой-то Quick search. реклама пока пропала

[RP55.RP55]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

  
           
Vegas Pro 12.0 (64-bit) (HKLM\...\{BD422D00-5232-11E3-A6F3-F04DA23A5C58}) (Version: 12.0.770 - Sony)
Task: {A5265AFD-8CAA-427C-A35F-5D737A8975EC} - \Uninstaller_SkipUac_Andrew -> No File <==== ATTENTION
HKLM-x32\...\Run: [] => [X]
SearchScopes: HKU\S-1-5-21-2621560630-1866707335-3266112228-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} ->  No File
DPF: HKLM-x32 {1ABA5FAC-1417-422B-BA82-45C35E2C908B} hxxp://kitchenplanner.ikea.com/RU/Core/Player/2020PlayerAX_IKEA_Win32.cab
OPR Extension: (Quick Searcher) - C:\Users\Andrew\AppData\Roaming\Opera Software\Opera Stable\Extensions\chphlpgkkbolifaimnlloiipkdnihall [2015-09-12]
OPR Extension: (Christoph142) - C:\Users\Andrew\AppData\Roaming\Opera Software\Opera Stable\Extensions\eiinejdcihhdbdbipfapahmjndejdpjb [2015-02-15]
OPR Extension: (MusicSig vkontakte) - C:\Users\Andrew\AppData\Roaming\Opera Software\Opera Stable\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2015-04-19]
OPR Extension: (SmoothScroll) - C:\Users\Andrew\AppData\Roaming\Opera Software\Opera Stable\Extensions\nbokbjkabcmbfdlbddjidfmibcpneigj [2015-02-15]
EmptyTemp:
Reboot:

Пишем по результатам лечения.

[AndrewGO777]

http://exfile.ru/476951 - Fixlog

[RP55.RP55]

Далее согласно традиции:
закрываем уязвимости
Программу AVZ можно скачать здесь: https://yadi.sk/d/1oRfN6gh2gbxf

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

* Если какое обновление не будет устанавливаться - пропустите.
---------

Рекомендации

Часто в комплекте с основной программой идут дополнения.
При установке ВСЕХ программ нужно включать расширенный режим установки.
И отказываться от установки дополнительных программы ( в большинстве случаев это Adware = рекламные блоки )
--
В антивирусе включить обнаружение потенциально нежелательных/опасных программ.
--
Перед установкой программы читать о ней отзывы.
--
По возможности проверять программу здесь: https://www.virustotal.com/
* Если позволяет вес программы.

[AndrewGO777]

Появилось следующее:
При старте пк открывается опера с сайтом.
AVZ не запускается
лог uvs - http://exfile.ru/476961

[RP55.RP55]

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код:

     


;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref HTTP://GANGNAMGAME.ORG
delref OVERMIHAB.
regt 1
regt 2
regt 35
delall %SystemDrive%\USERS\ANDREW\APPDATA\LOCAL\MICROSOFT\REDIST\VCREDIST_X86.EXE
exec32 "C:\Program Files (x86)\Yongnuo Trigger Updater\unins000.exe"
deltmp
delnfr
restart

Пишем что и как.