Jump to content
СофтФорум - всё о компьютерах и не только

Всплывающие окна в браузерах.


Recommended Posts

Всем привет.

У меня такая проблема, на рабочем компьютере после распаковки не известного архива с документами, начали вылезать всплывающие окна, вирусные  ехе файлы, и т.д. Как это победить ?

Логи прикрепил.

Заранее спасибо.

 

<script> </script>

CollectionLog-2015.11.23-18.25.zip

CollectionLog-2015.11.23-18.25.zip

Edited by DIMKA-vrn
Link to comment
Share on other sites

Здравствуйте!
 
Через Панель управления - Удаление программ - удалите нежелательное ПО:

application extension version 1.5
Software Version Updater

 
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);SearchRootkit(true, true);SetAVZGuardStatus(True); TerminateProcessByName('c:\program files\concom\concom.exe'); TerminateProcessByName('c:\program files\5373afc0-1444653926-11dd-b415-002354cb92fa\jnsv41d.tmp'); StopService('Concom'); StopService('zehygiqo'); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\toolbar.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zitenop\UnoTom.dll',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\config.json',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\couponriser_stb.exe',''); QuarantineFile('C:\WINDOWS\system32\tssk.sys',''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys',''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys',''); QuarantineFile('c:\program files\concom\concom.exe',''); QuarantineFile('c:\program files\5373afc0-1444653926-11dd-b415-002354cb92fa\jnsv41d.tmp', ''); DeleteFile('c:\program files\concom\concom.exe','32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys','32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys','32'); DeleteFile('C:\WINDOWS\system32\tssk.sys','32'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\couponriser_stb.exe','32'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\config.json','32'); DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zitenop\UnoTom.dll','32'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\toolbar.exe','32'); DeleteFile('c:\program files\5373afc0-1444653926-11dd-b415-002354cb92fa\jnsv41d.tmp', '32'); DeleteService('TSSK'); DeleteService('TS888'); DeleteService('QMUdisk'); DeleteService('Concom'); DeleteService('zehygiqo'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','couponriser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');BC_ImportALL;ExecuteSysClean;BC_Activate; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true);RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
 

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Ярлык

C:\Documents and Settings\User\Рабочий стол\Opera.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Link to comment
Share on other sites

Дошел до пункта выполнить скрипт в AVZ, и через несколько секунд работы  вылезает синий экран смерти, с ошибками STOP- D1, 8E. Какие дальше действия делать ? что предпринять ?

Link to comment
Share on other sites


Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).

Нажмите кнопку "Scan" ("Сканировать"). 

По окончании сканирования в меню Настройки отметьте дополнительно:


Сброс политик IE

Сброс политик Chrome


[*]Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.

[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

[*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

Затем:


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Link to comment
Share on other sites

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

startCreateRestorePoint:CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTIONCHR HKU\S-1-5-21-1220945662-1123561945-1177238915-1004\SOFTWARE\Policies\Google: Restriction <======= ATTENTIONHKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTIONHKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-0G2bd7OYjJL6NbyrAa2NdfBQ_qR6OjHy2zQgt_EicN7_L-th-Q4l4q6chnTCOtU9Y_yvDe_non8myvHKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-0G2bd7OYjJL6NbyrAa2NdfBQ_qR6OjHy2zQgt_EicN7_L-th-Q4l4q6chnTCOtU9Y_yvDe_non8myvHKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-21-1220945662-1123561945-1177238915-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}S2 Zitenop; C:\Documents and Settings\All Users\Application Data\\Zitenop\\Zitenop.exe -f "C:\Documents and Settings\All Users\Application Data\\Zitenop\\Zitenop.dat" -l -aS1 {b666938f-73a7-45e6-be3c-578b46fc5b7e}Gt; system32\drivers\{b666938f-73a7-45e6-be3c-578b46fc5b7e}Gt.sys [X]globalupdate Helper (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTIONTask: C:\WINDOWS\Tasks\UninstallMonitor.job => C:\Program Files\Innovative Solutions\Advanced Uninstaller PRO\uninstaller.exeDomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe] => Enabled:????-???StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报StandardProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe] => Disabled:????-???EmptyTemp:Reboot:end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
 

В перечне установленных программ появится

globalupdate Helper

удалите.

Сообщите что с проблемой.

Link to comment
Share on other sites

Все выполнил. Проблема решена, пока ничего криминального не заметил.

Спасибо большое. :clap:

Fixlog_26-11-2015_15-22-41.txt

Fixlog_26-11-2015_15-22-41.txt

Link to comment
Share on other sites

В завершение:

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.
 
Остальные утилиты и папки можно просто удалить.
 
 

Выполните скрипт в AVZ при наличии доступа в интернет:
 

varLogPath : string;ScriptPath : string;begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt';  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) elsebegin    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)else begin       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');       exit;      end;  end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)end.

 
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
 
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...