Opera - открытие рекламных вкладок
 

Добрый день!
Со вчерашнего дня в браузере Opera (последняя на данный момент версия) начали открываться рекламные вкладки (всякие кофе и прочее)
Windows 10 x64 Enterprise.
Лог прикладываю.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Компьютер перезагрузится.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.


Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor, выполнил.

В AdwCleaner ничего чистить не нужно.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Sandor, готово.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
CreateRestorePoint:
HKU\S-1-5-21-647623335-1603919025-3926764396-1001\...\MountPoints2: {717b93d2-47b4-11e9-a230-6c71d9329efe} - "G:\Autoplay.exe" -auto
HKU\S-1-5-21-647623335-1603919025-3926764396-1001\...\MountPoints2: {ff5b78b1-4723-11e9-a22e-6c71d9329efe} - "G:\WD Drive Unlock.exe" autoplay=true
GroupPolicy: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
C:\Users\noa\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhhmlfmgnofgaiimhpmapedlkbmfopme
C:\Users\noa\AppData\Roaming\Opera Software\Opera Stable\Extensions\nfmcmkgigcijhkhpogobfhkdokdecjmb
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\noa\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\noa\AppData\Roaming:iSpring Solutions [128]
EmptyTemp:
Reboot:
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor, вот лог.

Достаточно было один раз выполнить скрипт. Что сейчас с проблемой?

Sandor, я первый раз ошибся в написании имени скрипта, поэтому выполнил без его применения.
Пока сказать не могу. Они то одна за одной открываются, то их нет. Надо 24 часа подождать, чтобы более-менее наверняка.

Не нужно было ничего писать, скрипт должен был выполниться из буфера обмена.

Хорошо, ждем.

Для верности отключите на время теста расширение

Честно скажу, что я спойлер не увидел =/ только сейчас начал искать и нашел после этого.
Да, тоже на него начал грешить. Хотя стоит давно, чего вдруг?

Как говорят американцы - "shit happens" :)
Такое случается. Если проблема решена, в завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Sandor, вроде все нормально, вот лог.

--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.21.0 v.2.21.0 Warning! Download Update
Foxit Reader v.9.4.1.16828 Warning! Download Update
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.70 (64-bit) v.5.70.0 Warning! Download Update
-------------------------------- [ Java ] ---------------------------------
Java SE Development Kit 8 Update 221 (64-bit) v.8.0.2210.11 Warning! Download Update
Uninstall old version and install new one (jdk-8u231-windows-x64.exe).
------------------------------- [ Browser ] -------------------------------
Opera Stable 64.0.3417.92 v.64.0.3417.92 Warning! Download Update
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird 60.9.1 (x86 en-GB) v.60.9.1 Warning! Download Update
Mozilla Thunderbird 60.5.3 (x86 en-GB) v.60.5.3 Warning! Download Update


На заметку - Рекомендации после лечения.

Sandor, да у меня софта много, если его держать в актуальном состоянии, то на работу времени не останется)

Тут перечислены критические.

Sandor, хорошо, завтра займусь. Спасибо еще раз!