Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Всплывающие окна в браузерах.


Рекомендуемые сообщения

Всем привет.

У меня такая проблема, на рабочем компьютере после распаковки не известного архива с документами, начали вылезать всплывающие окна, вирусные  ехе файлы, и т.д. Как это победить ?

Логи прикрепил.

Заранее спасибо.

 

<script> </script>

CollectionLog-2015.11.23-18.25.zip

CollectionLog-2015.11.23-18.25.zip

Изменено пользователем DIMKA-vrn
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!
 
Через Панель управления - Удаление программ - удалите нежелательное ПО:

application extension version 1.5
Software Version Updater

 
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);SearchRootkit(true, true);SetAVZGuardStatus(True); TerminateProcessByName('c:\program files\concom\concom.exe'); TerminateProcessByName('c:\program files\5373afc0-1444653926-11dd-b415-002354cb92fa\jnsv41d.tmp'); StopService('Concom'); StopService('zehygiqo'); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\toolbar.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zitenop\UnoTom.dll',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\config.json',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\couponriser_stb.exe',''); QuarantineFile('C:\WINDOWS\system32\tssk.sys',''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys',''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys',''); QuarantineFile('c:\program files\concom\concom.exe',''); QuarantineFile('c:\program files\5373afc0-1444653926-11dd-b415-002354cb92fa\jnsv41d.tmp', ''); DeleteFile('c:\program files\concom\concom.exe','32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys','32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys','32'); DeleteFile('C:\WINDOWS\system32\tssk.sys','32'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\couponriser_stb.exe','32'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\config.json','32'); DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zitenop\UnoTom.dll','32'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\toolbar.exe','32'); DeleteFile('c:\program files\5373afc0-1444653926-11dd-b415-002354cb92fa\jnsv41d.tmp', '32'); DeleteService('TSSK'); DeleteService('TS888'); DeleteService('QMUdisk'); DeleteService('Concom'); DeleteService('zehygiqo'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','couponriser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');BC_ImportALL;ExecuteSysClean;BC_Activate; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true);RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
 

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Ярлык

C:\Documents and Settings\User\Рабочий стол\Opera.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Дошел до пункта выполнить скрипт в AVZ, и через несколько секунд работы  вылезает синий экран смерти, с ошибками STOP- D1, 8E. Какие дальше действия делать ? что предпринять ?

Ссылка на комментарий
Поделиться на другие сайты

Все выполнил. Ярлык Оперы на рабочем столе не найден.

AdwCleanerS1.txt

AdwCleanerS1.txt

Изменено пользователем DIMKA-vrn
Ссылка на комментарий
Поделиться на другие сайты


Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).

Нажмите кнопку "Scan" ("Сканировать"). 

По окончании сканирования в меню Настройки отметьте дополнительно:


Сброс политик IE

Сброс политик Chrome


[*]Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.

[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

[*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

Затем:


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

startCreateRestorePoint:CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTIONCHR HKU\S-1-5-21-1220945662-1123561945-1177238915-1004\SOFTWARE\Policies\Google: Restriction <======= ATTENTIONHKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTIONHKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-0G2bd7OYjJL6NbyrAa2NdfBQ_qR6OjHy2zQgt_EicN7_L-th-Q4l4q6chnTCOtU9Y_yvDe_non8myvHKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-0G2bd7OYjJL6NbyrAa2NdfBQ_qR6OjHy2zQgt_EicN7_L-th-Q4l4q6chnTCOtU9Y_yvDe_non8myvHKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-21-1220945662-1123561945-1177238915-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}S2 Zitenop; C:\Documents and Settings\All Users\Application Data\\Zitenop\\Zitenop.exe -f "C:\Documents and Settings\All Users\Application Data\\Zitenop\\Zitenop.dat" -l -aS1 {b666938f-73a7-45e6-be3c-578b46fc5b7e}Gt; system32\drivers\{b666938f-73a7-45e6-be3c-578b46fc5b7e}Gt.sys [X]globalupdate Helper (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTIONTask: C:\WINDOWS\Tasks\UninstallMonitor.job => C:\Program Files\Innovative Solutions\Advanced Uninstaller PRO\uninstaller.exeDomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe] => Enabled:????-???StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报StandardProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe] => Disabled:????-???EmptyTemp:Reboot:end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
 

В перечне установленных программ появится

globalupdate Helper

удалите.

Сообщите что с проблемой.

Ссылка на комментарий
Поделиться на другие сайты

Все выполнил. Проблема решена, пока ничего криминального не заметил.

Спасибо большое. :clap:

Fixlog_26-11-2015_15-22-41.txt

Fixlog_26-11-2015_15-22-41.txt

Ссылка на комментарий
Поделиться на другие сайты

В завершение:

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.
 
Остальные утилиты и папки можно просто удалить.
 
 

Выполните скрипт в AVZ при наличии доступа в интернет:
 

varLogPath : string;ScriptPath : string;begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt';  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) elsebegin    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)else begin       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');       exit;      end;  end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)end.

 
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
 
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...