Mail.ru засел

[elenka]

Mail.ru засел

Здравствуйте! Случайно скачала файл вместе с Амиго и прочими примочками mail.ru. Вроде все удалила, но периодически вылезает то тут, то там, то страница поиска mail, то еще что-то похожее. Проверьте, пожалуйста, лог от UVS.
Заранее спасибо!

 

[elenka]

И оказалось при заходе на vk.com вылезает реклама, и не только при заходе туда, но и на некоторые другие сайты тоже.

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\BAMBOO DOCK\UNINST.EXE
chklst
delvir

deldirex %SystemDrive%\USERS\ЕЛЕНА\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDAANGLPCPKJJLKHCBLADPPJPHGLBIGAM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ЕЛЕНА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=802841

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

 

[elenka]

сделала, но реклама осталась. Вроде где-то заметила, что это advmaker, но в расширениях браузера такого нет.
И еще, иногда бывает, что ищу что-то в гугле, нажимаю на ссылку, которую выдал гугл, а меня перекидывает на поиск.mail.ru и мой запрос там в строке уже вписан.

 

[safety]

2.удалите все найденное в малваребайт
далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

 

[elenka]

Все сделала, логи прикрепила. Реклама все равно осталась, правда уже все-таки поменьше, раньше еще выскакивало как будто сообщение из ВК. Сейчас пока не вижу его. А остальное (реклама в самой соцсети, всплывающее окно при первом заходе на этот форум, переход из гугла на mail.ru) осталось.

 

[Гризлик]

Скопируйте код ниже в Блокнот

HKU\S-1-5-21-220905479-4150099255-517108354-1000\...\Run: [MailRuUpdater] => C:\Users\Елена\AppData\Local\Mail.Ru\MailRuUpdater.exe [5168856 2016-07-01] (Mail.Ru)
HKU\S-1-5-21-220905479-4150099255-517108354-1000\...\Run: [mrupdsrv] => C:\Users\Елена\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe [2187992 2016-07-01] (Mail.Ru)
HKU\S-1-5-21-220905479-4150099255-517108354-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=802851
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=802811","hxxps://www.google.com/"
R2 mrupdsrv; C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe [2187992 2016-07-01] (Mail.Ru)
2016-07-20 20:25 - 2016-07-20 20:25 - 00003080 _____ C:\Windows\System32\Tasks\MailRuUpdater
2016-07-20 20:25 - 2016-07-20 20:25 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2016-07-20 20:24 - 2016-07-21 17:16 - 00000000 ____D C:\Users\Елена\AppData\Local\Mail.Ru
2016-07-20 20:24 - 2016-07-20 21:40 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
2016-07-20 20:24 - 2016-07-20 21:40 - 00000000 ____D C:\ProgramData\Mail.Ru
2016-07-20 20:24 - 2016-07-20 20:25 - 00000000 ____D C:\Users\Елена\AppData\Roaming\MailProducts
Task: {2A2E08D2-DF09-4B25-8EE9-347332BDBEAE} - \{E2E426B0-4B7B-43D0-A294-2D1DE7F65FCD} -> No File <==== ATTENTION
Task: {A35ED153-D7F2-439E-8462-8633F26B46D0} - System32\Tasks\MailRuUpdater => C:\Users\Елена\AppData\Local\Mail.Ru\MailRuUpdater.exe [2016-07-01] (Mail.Ru)
EmptyTemp:
Reboot:

Сохраните его как файл fixlist.txt в папку с программой Farbar Recovery Scan Tool. Запустите Farbar Recovery Scan Tool и нажмите Fix.
После чего откроется файл лога fixlog.txt выложите его сюда


П.С.
Вам эти IP знакомы?

193.0.201.201
98.158.96.96

Если нет то выполните еще скрипт в UVS

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
setdns Reusable ISATAP Interface {43071E7D-9814-49AF-BC3E-00F1FD4A931D}\4\{43071E7D-9814-49AF-BC3E-00F1FD4A931D}\8.8.8.8,8.8.4.4
setdns Reusable ISATAP Interface {79F359FF-6553-4C48-A3B2-5BE749091B1D}\4\{79F359FF-6553-4C48-A3B2-5BE749091B1D}\8.8.8.8,8.8.4.4
setdns isatap.{203E015E-322C-4690-84BB-731224243021}\4\{5658E707-75D8-4888-B707-A600943A08E3}\8.8.8.8,8.8.4.4
setdns Беспроводное сетевое соединение 2\4\{9883D2B3-BC6B-40A1-8779-40B77E70226E}\8.8.8.8,8.8.4.4
setdns Беспроводное сетевое соединение 3\4\{7B0303F5-329A-495F-914A-92CB032CDF77}\8.8.8.8,8.8.4.4
setdns Беспроводное сетевое соединение\4\{203E015E-322C-4690-84BB-731224243021}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети\4\{86B2CA81-536C-4CC8-ADE9-40F8C749868B}\8.8.8.8,8.8.4.4
setdns Сетевое подключение Bluetooth\4\{43C5D59F-822C-4F13-8DE8-E5A954F87648}\8.8.8.8,8.8.4.4
deltmp
delnfr
restart

 

[elenka]

Сделала, лог прилагаю. Айпишники мне неизвестны, так что скрипт тоже выполнила. Но реклама все равно осталась(((

 

[elenka]

Понимаю, что бред, но может стоит попробовать переустановить хром? Может просто куда-то туда влезла эта гадость(

 

[Гризлик]

Проблема только в хроме? В других браузерах (в IE например) реклама присутсвует?
Если только в хроме, то откройте вкладку (в адресной строке браузера наберите)

chrome://extensions

и отключите там все. Проверьте наличие рекламы.

 

[elenka]

У меня установлен только хром, в IE такого вроде не наблюдается. А в расширениях хрома ничего нет, все отключила еще когда подхватила эту ерунду.
Ппробовала переустановить хром, реклама не исчезла((

 

[elenka]

НО ie меня много куда не пускает, устарел. Может попробовать сделать восстановление системы?

 

[elenka]

Попробовала сейчас и восстановление системы, и переустановку хрома одновременно. И кажется, реклама исчезла, буду еще проверять и смотреть, но на первый взгляд такая назойливая и в первую очередь бросающая в глаза пропала. Если что, напишу. Как все оказалось просто))) Спасибо всем за лечение!)))

 

[Гризлик]

Если проблема не решилась выложите новый образ автозапуска

 

[elenka]

Тысяча извинений, забыла отписаться вчера. Рекламы нет, ничего не беспокоит)) Спасибо! Все гениальное просто))