Рекламный вирус

[R13]

Рекламный вирус

Всем привет! Подхватил рекламный вирус - на некоторых сайтах появляются "левые" рекламные блоки со ссылкой через <ссылка удалена из соображений безопасности>. Проблема только в Google Chrome. В Опере и Файрфоксе все в порядке. Параметры ноутбука - Windows 8.1 x64.
Антивирус Аваст не видит ничего, adwcleaner тоже ничего не нашел. Malwarebytes Anti-Malware нашел три файла - в длинном имени помимо прочего была часть "pop-up", но после их удаления ничего не изменилось - проблема не решена. Чистка браузера не помогла. Переустановка браузера не помогла.
Еще такой нюанс. Например, на сайте Спорт-Экспресс раньше реклама открывалась автоматом при клике в любом месте страницы. Сейчас поставил "Блокировать данные и файлы coockie сторонних ресурсов" - такого не происходит, но остались сами рекламные блоки, которых на этом сайте быть не должно (при открытии через другие браузеры всего этого нет).

 

[vexmd]

образ автозапуска UVS приложите: http://www.tehnari.ru/f150/t81269/

 

[Гризлик]

Похорошему нужно выложить это.

Но исходя из этого

Проблема только в Google Chrome.

могу вам предложить попробывать самостоятельный выход из ситуации. В адресной строке хрома ввдеите

chrome://extensions

и нажмите Enter. В открывшийся вклдаке все отключите/удалите что вам вообще незнакомо.

П.С Как правило при таких проблемах этого хватает.

 

[R13]

В открывшийся вклдаке все отключите/удалите что вам вообще незнакомо.

Спасибо за ответ! Там мне все знакомо и ничего нового нет. Прикладываю файл образа автозапуска.

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\СМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_1\ПОИСК MAIL.RU

deldirex %SystemDrive%\USERS\СМ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

 

[R13]

Проблема не решена - баннеры все так же появляются. Malwarebytes угроз не выявил.

 

[safety]

далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

 

[R13]

Проверки сделаны.

 

[safety]

IP в настройках DNS проверьте -ваш или нет.
98.158.96.96
https://www.nic.ru/whois/?query=98.158.96.96

 

[R13]

IP в настройках DNS проверьте -ваш или нет.
98.158.96.96

Нет, у меня другой ip.

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
setdns Ethernet\4\{5461545F-214F-454B-9B52-C5F822BB6792}\91.109.206.194,8.8.8.8,8.8.8.4
setdns isatap.Dlink\4\{3B03E68A-9B49-42B1-8807-16A6893CAB0E}\91.109.206.194,8.8.8.8,8.8.8.4
setdns Беспроводная сеть\4\{4D191CDC-3E0A-4089-8636-62CD4FFB2BD8}\91.109.206.194,8.8.8.8,8.8.8.4
setdns Подключение по локальной сети* 3\4\{5DF13F95-3C76-4880-8C8F-6B87634FC620}\91.109.206.194,8.8.8.8,8.8.8.4
setdns Подключение по локальной сети* 6\4\{90E7C9CE-0994-4765-884A-AFAB31F6B3D5}\91.109.206.194,8.8.8.8,8.8.8.4
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------

 

[R13]

Еще будут какие-то рекомендации? "Болезнь" прогрессирует - появились всплывающие окна на некоторых сайтах.

 

[R13]

перезагрузка, пишем о старых и новых проблемах.

Прошу прощения, не увидел сообщение №11. Скрипт выполнен, старая проблема осталась, всплывающие окна так же никуда не делись.

 

[safety]

если реклама только в Хроме, удалите Хром вместе с профилем, и заново установите актуальную версию.

 

[R13]

если реклама только в Хроме, удалите Хром вместе с профилем, и заново установите актуальную версию.

Хорошо, сегодня попробую. Уточните на счет ip - что это было? Откуда этот чужой ip?

 

[R13]

Итак, я в настройках браузера удалил пользователя, затем через Панель управления удалил сам браузер. После скачал и установил Хром через официальный сайт Гугла. Проблемы остались. Даже на этом форуме при клике в любом месте открывается окно с рекламой. Возможно, я где-то ошибся при удалении?
Добавлю - нового пользователя не создавал, в аккаунт не входил, закладки не импортировал. просто установил браузер и сразу зашел на один из сайтов, где проблема проявлялась наиболее ярко.

 

[R13]

Еще одно дополнение - сейчас проверил IE и там тоже есть эта проблема. То есть не только в Хроме. В этом случае, возможно, надо пояснить, что в Опере у меня кэш при выходе чистится и никакие данные не сохраняются. Не знаю, связано ли с этим то, что в Опере таких проблем нет.

 

[R13]

Надеюсь, последнее дополнение. В общем, после очередной попытки удалить Хром антивирус мне сказал, что не все удалилось и предложил за платную годовую подписку все исправить. К счастью, бесплатно можно было посмотреть, что за файлы не удалились. Оказалось, что в реестре сохранялся какой-то непонятный файл. В общем, я сделал то, что делать не рекомендуют - побаловался в редакторе реестра. Кроме папки Google/Chrome в двух местах так же удалил папку Mail.ru - есть подозрения, что от нее все проблемы и были. На данный момент проблемы нет, хотя не уверен, что она не проявится через какое-то время - мало ли, затаилась может )))

 

[R13]

Нда, и все-таки снова вылезает реклама...

 

[R13]

Обратил внимание на то, что после переустановки Хрома в истории просмотров уже есть страницы, просмотренные в течение последнего часа перед установкой. Страницы, естественно, ведут на разные рекламные сайты, которые у меня потом и выскакивают.