автоматически запускается браузер с рекламой - Форум технической поддержки ESET NOD32

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 03.04.2017 20:44:38

Здравствуйте.

Много чем пытался почистить комп после появления этой проблемы, и понял что пора обратиться на форум за помощью, ибо сам я думаю теперь только о переустановке всей ОС, а этого делать ой как не хочется((
В общем все сделал как было сказано в инструкции про создание лога.
Делал первую проверку - обнаружил 34 угрозы. Поместил я их в карантин. Сохранил лог. Перезагрузил. Зашел в карантин и уничтожил все угрозы. Запустил еще раз - ничего не обнаружил. Сохранил лог - уже второй. И тут же вирус дал о себе знать - запустилась страница (https://showjet.ru/serials/3334/season/1/episode/3?utm_source=traforet&utm_campaign=11552&ut...)
Запускаются сами, разные, и вулканы и другие, с переодичностью по несколько штук в час.

Во вложении два лога - первый после найденных угроз With threats (34) .txt
Второй без - No threats (after 1st check and reset) .txt

За то время, пока тут писал малвэарбайтс заблочил еще несколько (8 раз) - при чем со стороны utorrent почему-то (скрин одного из - ниже)
Файл с отчетом о подобной блокировке так же во вложении - называется block #.txt
Помогите, пожалуйста!

Прикрепленные файлы

block #.txt (1014 Б)
With threats (34) .txt (7.5 КБ)
No threats (after 1st check and reset) .txt (2.08 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.04.2017 21:02:00

1) В Malwarebytes - всё найденное удалите.

2) Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Изменено: RP55 RP55 - 03.04.2017 21:03:51

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 03.04.2017 21:15:41

Сделал. Прилагаю.

Прикрепленные файлы

DESKTOP-50HAS61_2017-04-03_21-07-51.7z (767.39 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.04.2017 21:24:31

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.87.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://WWW.YOUTUBE.COM/ delref HTTP://VK.COM/FEED delref HTTP://WWW.OURSURFING.COM/?TYPE=HP&TS=1431066552&Z=C9F9D52223EDCAC3B4CA11BGCZ0CCG8E5QDQ7QFB7G&FROM=CMI&UID=3219913727_198339_38E3BDF9 delref HTTP://WWW.OURSURFING.COM/?TYPE=HPPP&TS=1431066570&Z=C5E0FA0417FEEC8EB14072BG1Z6C0G6ECQ1Q5Q5TAB&FROM=CMI&UID=3219913727_198339_38E3BDF9 delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC ;------------------------------------------------------------- delref %SystemDrive%\USERS\IDEXT\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HOBOPPGPBGCLPFNJFDIDOKIILACHFCBB\3.0.2.0_0\VKOPT delref %SystemDrive%\USERS\IDEXT\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CFHDOJBKJHNKLBPKDAIBDCCDDILIFDDB\1.13.2_0\ADBLOCK PLUS delref %SystemDrive%\USERS\IDEXT\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GIGHMMPIOBKLFEPJOCNAMGKKBIGLIDOM\3.9.1_1\ADBLOCK deltmp delnfr restart

Код


;uVS v3.87.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.YOUTUBE.COM/
delref HTTP://VK.COM/FEED
delref HTTP://WWW.OURSURFING.COM/?TYPE=HP&TS=1431066552&Z=C9F9D52223EDCAC3B4CA11BGCZ0CCG8E5QDQ7QFB7G&FROM=CMI&UID=3219913727_198339_38E3BDF9
delref HTTP://WWW.OURSURFING.COM/?TYPE=HPPP&TS=1431066570&Z=C5E0FA0417FEEC8EB14072BG1Z6C0G6ECQ1Q5Q5TAB&FROM=CMI&UID=3219913727_198339_38E3BDF9
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC

;-------------------------------------------------------------

delref %SystemDrive%\USERS\IDEXT\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HOBOPPGPBGCLPFNJFDIDOKIILACHFCBB\3.0.2.0_0\VKOPT
delref %SystemDrive%\USERS\IDEXT\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CFHDOJBKJHNKLBPKDAIBDCCDDILIFDDB\1.13.2_0\ADBLOCK PLUS
delref %SystemDrive%\USERS\IDEXT\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GIGHMMPIOBKLFEPJOCNAMGKKBIGLIDOM\3.9.1_1\ADBLOCK
deltmp
delnfr
restart

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
_____
Официальный сайт: https://adblockplus.org/ru/

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 03.04.2017 21:50:59

Скрипт выполнил. Комп перезагрузился. Повторный лог программой Malwarebytes выполнил. Отчет во вложении.

Прикрепленные файлы

отчет malwarebytes после выполнения скрипта.txt (2.1 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.04.2017 21:54:03

1) В Malwarebytes - чисто.

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 03.04.2017 22:16:06

2) Выполнил. Отчет на всякий во вложении. (удалил 18 угроз)
3)Выполнил. Ссылка на отчеты http://rgho.st/8DQsxKntB

Прикрепленные файлы

AdwCleaner[C0].txt (3.68 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 03.04.2017 22:47:09

Во вложении файл, скачать его, положить рядом с программой Farbar Recovery Scan Tool
Нажать кнопку Fix
После выполнения скрипта, ПК перезагрузится.

Сообщите о результате.

Спасибо.

Прикрепленные файлы

fixlist.txt (895 Б)

Сообщений: 21

Баллов: 10

Регистрация: 03.04.2017

Размещено 03.04.2017 22:56:22

Сначала сделал так как написали до этого - скопировал файл назвал фикслист, запустил, нажал фикс, перезапустил. И после перезагрузки открылся хром с рекламой танков. потом увидел ваше новое сообщение уже с вложенным файлом и той же процедурой - повторил перезагрузился. пока тишина.
Файл последнего фикслога во вложении.

Что-то мне думается, если после всех этих процедур проблема не уйдет прийдется сносить винду(((

Прикрепленные файлы

Fixlog.txt (3.37 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 03.04.2017 22:57:41

Проблема была в этом

Цитата
Task: {CC37A788-4960-4CFF-92F0-8A9657CEB9D6} - System32\Tasks\jurnal-onlynetstechm => Chrome.exe jurnal-only.net/stechm

Предыдущее сообщения я удалил

Если скрипт из моего сообщения выполнили ее более не будет...

Изменено: Дмитрий - 03.04.2017 22:59:14

[ Закрыто ] автоматически запускается браузер с рекламой