Вирусная реклама в браузере

[sanio]

Вирусная реклама в браузере

Несколько дней назад появилось куча рекламы в браузерах на разных сайтах.Раньше помогали расширения а теперь видимо проблема где-то глубоко в реестре.Что только не пробовал-и cureit и hitman...короче долго перечислять.Помогите пожалуйста!

 

[Vladimir_S]

Вам помогут ТОЛЬКО после того, как будут выполнены вот эти предписания.

 

[sanio]

Да извините я в курсе что-то не получилось вставить образ в сообщение

 

[Vladimir_S]

Да извините я в курсе что-то не получилось вставить образ в сообщение

В чём проблема?

 

[sanio]

кажись получилось вставить в первое сообщение

 

[Vladimir_S]

кажись получилось вставить в первое сообщение

Прекрасно! Теперь дождитесь ответа от наших специалистов.

 

[mike 1]

Здравствуйте.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.6 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   breg
   
   exec32 "C:\Program Files (x86)\Spybot Anti-Beacon\unins000.exe"
   exec "C:\Program Files\SUPERAntiSpyware\Uninstall.exe"
   exec32 "C:\Users\flavio\AppData\Roaming\baidu\BaiduNetdisk\uninst.exe"
   delref HTTP://IRON-START.COM/
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGLCIMEPNLJOHOLDMJCHKLOAFKGGFOIJH%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
   regt 26
   deltmp

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. На запросы удаления программ соглашайтесь.
6. Компьютер перезагрузите вручную

1. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
2. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
3. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
4. Прикрепите отчет к своему следующему сообщению.

 

[sanio]

Все сделал...пока все та же реклама в браузере

 

[safety]

такой еще скрипт выполните в uVS

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\FLAVIO\APPDATA\ROAMING\BAIDU\BAIDUNETDISK

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGLCIMEPNLJOHOLDMJCHKLOAFKGGFOIJH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://OVGORSKIY.RU
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\FILESYNCSHELL.DLL
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\FILECOAUTH.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6381.0405\FILESYNCAPI.DLL
delref %Sys32%\MSMIRADISP.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\USERS\FLAVIO\APPDATA\ROAMING\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI
;-------------------------------------------------------------

restart

далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

 

[sanio]

Сделал...Без изменений пока все...

 

[sanio]

вот лог еще забыл в uVS

 

[safety]

реклама во всех браузерах наблюдается или в каком -то одном?
пробуйте последовательно отключать расширения.

 

[utex]

Кстати расширения уже отключал не помогло.Кстати да Вы правы сейчас надоедливую рекламу вижу только на нескольких сайтах.Вот как бы ее убрать...

 

[utex]

тоже самое было

 

[sanio]

сорри просто компом пользуется два человека-случайно переключился не на свой никнейм

 

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   

   CreateRestorePoint:
   CloseProcesses:
   HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
   GroupPolicy: Restriction <==== ATTENTION
   2017-10-08 16:58 - 2017-10-08 16:58 - 000000000 ____D C:\Users\Все пользователи\SUPERAntiSpyware.com
   2017-10-08 16:58 - 2017-10-08 16:58 - 000000000 ____D C:\ProgramData\SUPERAntiSpyware.com
   2017-10-09 09:57 - 2017-06-16 12:35 - 000000000 ____D C:\Users\flavio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\百度网盘
   Task: {16DEA092-FB0C-40D0-AE20-0536BECC21D9} - \Microsoft\Windows\EDP\EDP App Launch Task -> No File <==== ATTENTION
   Task: {1B65DD58-D16B-45E8-BEB4-94D7E4D64DF7} - \Microsoft\Windows\EDP\EDP Auth Task -> No File <==== ATTENTION
   Task: {D822C078-6DD7-46A4-8130-E6648B8FDCAD} - System32\Tasks\Safer-Networking\Spybot Anti-Beacon\Refresh Anti-Beacon immunization => C:\Program Files (x86)\Spybot Anti-Beacon\SDAntiBeacon.exe
   EmptyTemp:

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.

 

[sanio]

Сделал...все также реклама

 

[mike 1]

В браузере отключите все расширения. Проверьте проблему. Если не поможет, то переустановите браузер с полным удалением профиля.

 

[sanio]

Уже удалял и реестр чистил насколько возможно...
p.s может это 360 total security с его спонсорской рекламой? там такое в настройках есть а в free версии рекламу отключить нельзя...хз.Вся эта фигня появилась приблизительно после обновления этого антивируса..

 

[mike 1]

В Internet Explorer проблема наблюдается?