Реклама в браузере

[gena88tut]

Реклама в браузере

доброго времени. Столкнулся с проблемой, в браузере, постоянно вылазит реклама и выскакуют какие-то левые окна самопроизвольно. Что хуже всего с рабочего стола не запускаються ярлыки антивирусов ( ни одного) Malwarebytes, Doc web CureIt! при запуске пишет "Этот издатель был заблокирован и его программы не будут запускаться".

И еще обнаружил в диспетчере задач, процесс которого раньще не было.
Путь где он находиться Диск С > Program Data > папка {87D8CFAC-3073-7807-46B2-00C7D2CF19EC} В ней находиться exe Файл.

Подскажите с решением как удалить это недоразумение.

 

[Гризлик]

Выложите образ автозапуска

 

[gena88tut]

Вот. в зип архиве.

 

[Гризлик]

Мдя. Целый зоопарк у вас.
Скачайте файл скрипта. Запустите UVS под текущим пользователем. В меню: Скрипты---Выполнить скрипт из файла. Выберите скаченый файл скрипта и нажмите ОК. После перезагрузки выложите НОВЫЙ образ автозапуска.

 

[gena88tut]

первое впечатление не плохое. Исчезли всякие левые окна, и пропала реклама с браузера.... спасибо.

 

[Гризлик]

Скопируйте КОД ниже в буфер обмена.
Запустите UVS под текущим пользователем.
В меню: Скрипты---Выполнить из буфера обмена

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
deldir %SystemDrive%\USERS\GENA\APPDATA\ROAMING\ONEISC
deldir %SystemDrive%\USERS\GENA\APPDATA\ROAMING\MILISTER
deldir %SystemDrive%\USERS\GENA\APPDATA\ROAMING\BBEFA
delall %SystemRoot%\TEMP\GA44A.TMP.EXE
deldir %SystemDrive%\USERS\GENA\APPDATA\ROAMING\ONEISC
deldir %SystemDrive%\PROGRAMDATA\APPRIABUS
deldir %SystemDrive%\PROGRAMDATA\DC3D942
deldir %SystemDrive%\PROGRAM FILES (X86)\ICBALOCIDXXU2
deldir %SystemDrive%\PROGRAM FILES\HDRMIFE PGP
deldir %SystemDrive%\PROGRAM FILES\IMAGEBOOK
deldir %SystemDrive%\PROGRAM FILES (X86)\CKCPTYVYQIE
deldir %SystemDrive%\PROGRAMDATA\{87D8CFAC-3073-7807-46B2-00C7D2CF19EC}
deldir %SystemDrive%\PROGRAM FILES (X86)\TQOARIXZU
delref %SystemDrive%\PROGRAM FILES\HDRMIFE PGP\HDRMIFE PGP.DLL
delref %SystemDrive%\PROGRAMDATA\EA9796AB-0DF5-1\EA9796AB-0DF5-1.D
delref %SystemDrive%\PROGRAMDATA\EA9796AB-3063-0\EA9796AB-3063-0.D
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\GENA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\KM7P878I.DEFAULT\EXTENSIONS\HOMEPAGE@MAIL.RU
delref %SystemDrive%\USERS\GENA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\KM7P878I.DEFAULT\EXTENSIONS\SEARCH@MAIL.RU
delref %SystemDrive%\USERS\GENA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\KM7P878I.DEFAULT\EXTENSIONS\{A38384B3-2D1D-4F36-BC22-0F7AE402BCD7}
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\[CLSID]
deltmp
restart

После перезагрузки:
1. Сделайте чистку в AdwCleaner
2. Выложите логи Farbar Recovery Scan Tool

 

[gena88tut]

Не сделал сразу чистку Антивирусом как вы написали, думал все прошло. Щас снова окна вылазят .антивирус ни один не запускаеться.
Новый образ автозапуска.

 

[Гризлик]

Скопируйте КОД ниже в буфер обмена.
Запустите UVS под текущим пользователем.
В меню: Скрипты---Выполнить из буфера обмена

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
zoo %SystemDrive%\PROGRAM FILES\EXCEL PAKMAPM3M\EXCEL PAKMAPM3M.DLL
zoo %SystemDrive%\PROGRAM FILES\MB OFFICE PAD\MB OFFICE PAD.DLL
zoo %SystemDrive%\PROGRAM FILES\ABCST TO PDF CONVERTER\ABCST TO PDF CONVERTER.DLL
zoo %SystemDrive%\PROGRAM FILES\NOKIA 6235 USB OBEX\NOKIA 6235 USB OBEX.DLL
delall %SystemDrive%\USERS\GENA\APPDATA\LOCAL\AA69B74455F54F3D9F8A1A5350D89F49\0E7BPEKCWC.EXE
delall %SystemDrive%\USERS\GENA\APPDATA\LOCAL\TEMP\2815A2E82E34484B8B7A9B25BEF42DE6\6EY114EVB1B1Y.EXE
delall %SystemDrive%\USERS\GENA\APPDATA\LOCAL\F1F3AC065A6240A58AB42F7F9F22DB25\AYGLTC8VBPWKAQ.EXE
delall %SystemDrive%\USERS\GENA\APPDATA\ROAMING\AB1B3205530A4995ABFD300778EF9189\CRHLYGXVPSW.EXE
delall %SystemDrive%\USERS\GENA\APPDATA\LOCAL\4E38A0A54DB84C4894EF76F11A458742\DINAQGFTC.EXE
delall %SystemDrive%\USERS\GENA\APPDATA\ROAMING\7CA548E8DA3643569EA056D73B689FF4\ERO8I2ES.EXE
delall %SystemDrive%\USERS\GENA\APPDATA\ROAMING\020D4E4772794BDE98E94E358739B607\GBWXEWKP5H9.EXE
delall %SystemDrive%\USERS\GENA\APPDATA\ROAMING\E5CEFE59364144359180128627705CFE\H9GNLPTDFM.EXE
delall %SystemDrive%\USERS\GENA\APPDATA\ROAMING\D953B54246D7431FA6A79B82AD38CF98\OI3Z1XBINA.EXE
delall %SystemDrive%\USERS\GENA\APPDATA\ROAMING\SIVAPP\SIVAPP.EXE
delall %SystemDrive%\PROGRAMDATA\E482BD4799E64B5C8D06405C30878099\A13AXSJFAYRY.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ZFJRWQLPHIE\IFJTMXYLUB.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\JIDCNNTTVNKU2\CKJEEZCMKSKJM.DLL
delall %SystemDrive%\PROGRAM FILES\EXCEL PAKMAPM3M\EXCEL PAKMAPM3M.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\ZFJRWQLPHIE\K6IHISCS.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\KQEUPYMAU\KEZMSJ.DLL
delall %SystemDrive%\PROGRAM FILES\MB OFFICE PAD\MB OFFICE PAD.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\ZFJRWQLPHIE\TTPS6SADA.DLL
delall %SystemDrive%\PROGRAM FILES\MALWAREBYTES\IQZAMGDEJH\SJWRVUMWBJ.EXE
delall %SystemDrive%\PROGRAMDATA\5BFA1E2707154E4BB5AC904E24BD0807\VPCQBC3.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ZTWNHLZWJSUN\XWYAXAIZEI.EXE
delall %SystemDrive%\PROGRAM FILES\ABCST TO PDF CONVERTER\ABCST TO PDF CONVERTER.DLL
delall %SystemDrive%\PROGRAM FILES\NOKIA 6235 USB OBEX\NOKIA 6235 USB OBEX.DLL
delref %SystemDrive%\USERS\GENA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\GENA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\KM7P878I.DEFAULT\EXTENSIONS\HOMEPAGE@MAIL.RU
delref %SystemDrive%\USERS\GENA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\KM7P878I.DEFAULT\EXTENSIONS\SEARCH@MAIL.RU
delref %SystemDrive%\USERS\GENA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\KM7P878I.DEFAULT\EXTENSIONS\{A38384B3-2D1D-4F36-BC22-0F7AE402BCD7}
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
deltmp
restart

После перезагрузки:
Выложите логи МВАМ

 

[gena88tut]

скачал Malwarebytes и AdwCleaner. не запускаются
"Этот издатель был заблокирован и его программы не будут запускаться"

 

[Гризлик]

"Этот издатель был заблокирован и его программы не будут запускаться"

Попробуйте:
Панель управления---Свойства браузера---Содержание---Издатели--Не имеющие доверия. В списке найдите Malwarebytes и нажмите удалить. Затем попробуйте Malwarebytes запустить снова.

Если не поможет то, создайте на НЕ зараженном ПК загрузочный диск/флешку DrWebCureit. Загрузите зараженный ПК с этого диска/флешки и выполните полное сканирование системы.

 

[gena88tut]

приветствую. все сделал как описали. Записал лайв-СД Dr. web, прочекал им весь жесткачь. После этого все сертификаты "недоверия" ушли, где и был Малабар. Щас прочекал, хард, двумя сканерами Malwarebytes, adwcleaner, как писали выше. Отчеты этих двух ниже... Нашло много всего, но еще не удалял.

До этого еще проверял сканерами
Kaspersky Virus Removal Tool
ESETOnlineScanner_RUS
EmsisoftEmergencyKit
И Авира фри

 

[Гризлик]

но еще не удалял.

Можно все удалить.
Затем остался последний этап:
Выложите логи Farbar Recovery Scan Tool

 

[gena88tut]

вот файлы логов

 

[Гризлик]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

HKU\S-1-5-21-617424129-1205581070-2617828803-1000\...\MountPoints2: {4ebfce0c-cd5b-11e7-ac65-94de80ce54eb} - H:\setup.exe
HKU\S-1-5-21-617424129-1205581070-2617828803-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-11212017015946316\...\MountPoints2: {4ebfce0c-cd5b-11e7-ac65-94de80ce54eb} - H:\setup.exe
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
FF Plugin HKU\S-1-5-21-617424129-1205581070-2617828803-1000: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Gena\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [2016-05-08] (Unity Technologies ApS)
OPR Extension: (Fast search) - C:\Users\Gena\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-07-07]
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
Task: {08CA55DE-FA84-442C-B2A4-DCF3428D7197} - \ABCst to PDF Converter -> No File <==== ATTENTION
Task: {0A16D7AF-33C4-4926-8C5C-E82C20F0CD69} - \Nokia 6235 USB OBEX -> No File <==== ATTENTION
Task: {2A6B63E1-3038-4C99-9386-B49DA5B70AD2} - \indexer -> No File <==== ATTENTION
Task: {427AB2D4-9849-423B-9DD8-6D6106B5A71E} - \Excel PakmapM3M -> No File <==== ATTENTION
Task: {43CF06F7-0308-44E0-88BA-090DB60429C0} - \ImageBook -> No File <==== ATTENTION
Task: {47BAE56B-973C-4B46-AA0D-1C21E907E99B} - \Lynamic NSF Ottitility -> No File <==== ATTENTION
Task: {4996CC40-DB2B-4BE8-AEF0-C0028BF89FFB} - \MB Office Pad -> No File <==== ATTENTION
Task: {65B72255-E600-43DB-A9AB-B42D68970450} - \Microsoft\Windows\Multimedia\Driver -> No File <==== ATTENTION
Task: {6FF71142-B5E4-4EA1-B22F-6A7D8F8A3D0E} - \SleepBk Studio -> No File <==== ATTENTION
Task: {7E8882AA-A65F-4267-8977-0A703672E781} - \{9810CF6C-DE05-D8CE-AA96-97EA3FE12612} -> No File <==== ATTENTION
Task: {85A9A8F3-BCAB-46C1-91A2-B260075E5172} - \HDRMife PGP -> No File <==== ATTENTION
Task: {A4206BB5-2C5B-4B72-90D1-CEA9E101899B} - \{815F5EEE-36F4-E945-35B3-4AE65F2F7C4B} -> No File <==== ATTENTION
Task: {B2B6EBFA-C973-41E7-A045-3F051F317E99} - \{E783CA85-D29B-4B0A-AE68-CCEF14A8FF30} -> No File <==== ATTENTION
Task: {DF42326C-CC8A-463E-B856-FED0A5CBBE64} - \Smart Agents -> No File <==== ATTENTION
Task: {E53BA03F-AB4E-4346-B703-F3DF2A9A12D2} - \Microsoft\Cecdb -> No File <==== ATTENTION
Task: {E964B87C-08A6-4462-8BB3-AEDF83AFFC76} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
MSCONFIG\startupreg: GENA-PC => C:\Windows\TEMP\g72CE.tmp.exe
MSCONFIG\startupreg: MailRuUpdater => C:\Users\Gena\AppData\Local\Mail.Ru\MailRuUpdater.exe
EmptyTemp:
Reboot:

 

[gena88tut]

вот лог файл

 

[Гризлик]

Что сейчас с проблемой?

 

[gena88tut]

вроде норм.

Еще такой вопрос. Я часто после антивирусов проверяю комп. через командную строку, CHKDSK "с: /f /r" ошибки, недостающие файлы.
Она реально помогает, или это все бутофорство ? то есть восстанавливает к примеру удаленные файлы в реестре новыми и.т.д.

 

[Гризлик]

то есть восстанавливает к примеру удаленные файлы в реестре новыми и.т.д.

CHKDSK не может восстанавливать удаленные файлы а уж тем более реестр. У этой команды другое предназначение - исправление ошибок на диске и только.

недостающие файлы

для этого используется другая команда

sfc /scannow

 

[AlexZir]

CHKDSK "с: /f /r"

утилита chkdsk.exe предназначена для исправления ошибок и сбоев файловой системы, сама она никак не способна добавить что-либо новое на компьютер, но может восстановить потерянные фрагменты файлов и индексировать их. Это операция проверки дисков на ошибки.

Для добавления в систему отсутствующих системных файлов используется утилита sfc.exe с ключом /scannow. Для её работы может понадобиться диск с дистрибутивом операционной системы.

Обе эти утилиты реально помогают восстановить работоспособность системы.