Очень много рекламы, редирект на рекламные страницы [not-a-virus:HEUR:AdWare.Win32.Generic, not-a-virus:AdWare.Win32.BrowseFox.btzx ]

**Molotoff** · 14.01.2016, 04:21

Добрый день.

В браузерах появляется большое количество баннеров поверх страницы, происходит редирект на рекламные сайты и в Firefox даже блокируется этот сайт (virusinfo.info).

Логи прилагаю. Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.01.2016, 04:23

Уважаемый(ая) Molotoff, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 14.01.2016, 09:59

1) Логи сделаны версией 4.43. Скачайте актуальную версию AVZ: 4.45, обновите базы и переделайте логи.

2) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

3) - сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

**Molotoff** · 14.01.2016, 11:47

Проверки выполнены, логи получены. Только лог программы Check Browsers' LNK by Dragokas & regist пришлось заархивировать - не удовлетворял требованиям объема загружаемых файлов.
Ссылка на результаты проверки карантина - http://virusinfo.info/virusdetector/...443FE9E129EB3A

**regist** · 14.01.2016, 13:00

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\2\plugin.exe');
 TerminateProcessByName('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\3\plugin.exe');
 TerminateProcessByName('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\5\plugin.exe');
 TerminateProcessByName('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\10\plugin.exe');
 TerminateProcessByName('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\8\plugin.exe');
 TerminateProcessByName('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\7\plugin.exe');
 TerminateProcessByName('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\12\plugin.exe');
 QuarantineFile('C:\Users\IlyinBoris\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\IlyinBoris\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\IlyinBoris\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk', '');
 QuarantineFile('C:\Users\IlyinBoris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\IlyinBoris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Opera.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
 QuarantineFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\2\plugin.exe', '');
 QuarantineFileF('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\3\plugin.exe', '');
 QuarantineFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\5\plugin.exe', '');
 QuarantineFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\10\plugin.exe', '');
 QuarantineFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\8\plugin.exe', '');
 QuarantineFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\7\plugin.exe', '');
 QuarantineFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\12\plugin.exe', '');
 QuarantineFile('C:\Users\ILYINB~1\AppData\Local\Temp\{C7475E62-AC6C-4821-8D07-81734400F230}.xpi', '');
 QuarantineFile('C:\Users\ILYINB~1\AppData\Local\Temp\{09817836-7F79-4B60-8048-5D0EBA19E872}.xpi', '');
 QuarantineFile('C:\Users\ILYINB~1\AppData\Local\Temp\{78C59A82-D08F-432A-9C5E-FAE478B925CC}.dll', '');
 DeleteFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\2\plugin.exe', '32');
 DeleteFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\3\plugin.exe', '32');
 DeleteFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\5\plugin.exe', '32');
 DeleteFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\10\plugin.exe', '32');
 DeleteFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\8\plugin.exe', '32');
 DeleteFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\7\plugin.exe', '32');
 DeleteFile('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\12\plugin.exe', '32');
 DeleteFile('C:\Users\ILYINB~1\AppData\Local\Temp\{C7475E62-AC6C-4821-8D07-81734400F230}.xpi', '32');
 DeleteFile('C:\Users\ILYINB~1\AppData\Local\Temp\{09817836-7F79-4B60-8048-5D0EBA19E872}.xpi', '32');
 DeleteFile('C:\Users\ILYINB~1\AppData\Local\Temp\{78C59A82-D08F-432A-9C5E-FAE478B925CC}.dll', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFileMask('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\', '*', true);
 DeleteDirectory('c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**Molotoff** · 14.01.2016, 15:04

Вроде все сделал по инструкции

ссылка:
http://virusinfo.info/virusdetector/...07A0A51A49CD07

логи:

**regist** · 14.01.2016, 17:17

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

**Molotoff** · 14.01.2016, 17:50

выполнено

**regist** · 14.01.2016, 18:56

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

**Molotoff** · 15.01.2016, 02:54

Выполнено, стало меньше всплывающих окон, но баннеры и редирект еще остались.

**regist** · 15.01.2016, 10:29

Сделайте свежий лог AdwCleaner-а.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**Molotoff** · 15.01.2016, 12:35

AdwCleaner вроде ничего не нашел. Свежие логи прилагаю.

**regist** · 15.01.2016, 17:43

сделайте лог HiJackThis 2.0.6 Alfa 1.5

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление нажав кнопку: Да.

- - - - -Добавлено - - - - -

+ все эти расширения сами ставили?

Код:

FF Extension: Adblock Plus Pop-up Addon - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2015-05-29]
FF Extension: Turn Off the Lights - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2015-06-24]
FF Extension: ImTranslator - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}.xpi [2015-12-19]
FF Extension: Speed Dial [FVD] - New Tab Page, Sync... - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2015-12-31]
FF Extension: eShield - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2016-01-13] [not signed]
FF Extension: Video AdBlock for Firefox - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\{a00bef25-f21a-4539-adbb-b179b29e2b92} [2016-01-14] [not signed]
FF Extension: 1C:Enterprise Extension - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\Extensions\[email protected] [2015-08-17] [not signed]
FF Extension: ZenMate Security, Privacy & Unblock VPN - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\Extensions\[email protected] [2015-12-15]
FF Extension: Money Viking - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\Extensions\{04578a1b-cc76-48bb-ad9a-c0b16aa39654}.xpi [2016-01-13] [not signed]
FF Extension: Adblock Plus - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2015-12-16]

Chrome: 
=======
CHR Profile: C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Презентации) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-06-06]
CHR Extension: (Документы Google) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-06-06]
CHR Extension: (Диск Google) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-01-14]
CHR Extension: (YouTube) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-01-14]
CHR Extension: (Google Search) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-01-14]
CHR Extension: (Google Таблицы) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-06-06]
CHR Extension: (Google*Документы офлайн) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-01-14]
CHR Extension: (VkOpt) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\hoboppgpbgclpfnjfdidokiilachfcbb [2016-01-14]
CHR Extension: (Money Viking) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\jnioiobojokgpfnkphineipddglcihjb [2016-01-15] [UpdateUrl: hxxp://cdn.moneyviking.net/update] <==== ATTENTION
CHR Extension: (Qip Authorizer Web Plugin) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2016-01-15]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-09-14]
CHR Extension: (Gmail) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-06-06]
CHR HKLM\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-396966855-316378592-212668334-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx

И особенно интересует Money Viking, сами ставили?

**Molotoff** · 15.01.2016, 18:15

Все сделал, лог прилагаю.

Все расширения ставил сам кроме eShield и Money Viking.

**regist** · 15.01.2016, 18:45

Профиксите в HijackThis

Код:

O22 - ScheduledTask: (Ready) {7E0E0547-0D79-7A08-0411-7E78090B117F} - {root} - C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcAcgBlAHMAcwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFYAZQByAGIAbwBzAGUAUAByAGUAZgBlAHIAZQBuAGMAZQA9ACQAcwBjADsAJABEAGUAYgB1AGcAUAByAGUAZgBlAHIAZQBuAGMAZQA9ACQAcwBjADsACgBmAHUAbgBjAHQAaQBvAG4AIABzAHIAKAAkAHAAKQB7ACQAbgA9ACIAVwBpAG4AZABvAHcAUABvAHMAaQB0AGkAbwBuACIAOwB0AHIAeQB7AE4AZQB3AC0ASQB0AGUAbQAgAC0AUABhAHQAaAAgACQAcAB8AE8AdQB0AC0ATgB1AGwAbAA7AH0AYwBhAHQAYwBoAHsAfQB0AHIAeQB7AE4AZQB3AC0ASQB0AGUAbQBQAHIAbwBwAGUAcgB0AHkAIAAtAFAAYQB0AGgAIAAkAHAAIAAtAE4AYQBtAGUAIAAkAG4AIAAtAFAAcgBvAHAAZQByAHQAeQBUAHkAcABlACAARABXAE8AUgBEACAALQBWAGEAbAB1AGUAIAAyADAAMQAzADIAOQA2ADYANAB8AE8AdQB0AC0ATgB

Сообщение от Molotoff

eShield и Money Viking.

удалите их. Money Viking ещё в расширениях Оперы стоит.

После этого проверьте проблему.

**Molotoff** · 15.01.2016, 18:56

как грамотно их удалить, чтоб не остались?

**regist** · 15.01.2016, 22:11

Сообщение от Molotoff

как грамотно их удалить

через управление расширениями в браузере.

**Molotoff** · 16.01.2016, 04:55

Вроде все нормально, большое спасибо!

**regist** · 16.01.2016, 10:17

папку C:\FRST удалите.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

**CyberHelper** · 16.01.2016, 10:27

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 58
В ходе лечения обнаружены вредоносные программы:
1. c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugincontainer.exe - not-a-virus:HEUR:AdWare.Win32.Generic ( DrWEB: Trojan.Yontoo.3728 )
2. c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\10\plugin.exe - not-a-virus:HEUR:AdWare.Win32.Generic ( DrWEB: Trojan.Yontoo.3728 )
3. c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\12\plugin.exe - not-a-virus:HEUR:AdWare.Win32.Generic ( DrWEB: Trojan.Yontoo.3728 )
4. c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\12\resources\plugin.dll - not-a-virus:HEUR:AdWare.Win32.Amonetize.gen ( DrWEB: Trojan.Yontoo.3728 )
5. c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\2\plugin.exe - not-a-virus:HEUR:AdWare.Win32.Generic ( DrWEB: Trojan.Yontoo.3728 )
6. c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\3\plugin.exe - not-a-virus:HEUR:AdWare.Win32.Generic ( DrWEB: Trojan.Yontoo.3728 )
7. c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\5\plugin.exe - not-a-virus:AdWare.Win32.BrowseFox.btzx ( DrWEB: Trojan.Yontoo.3728 )
8. c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\7\plugin.exe - not-a-virus:AdWare.Win32.BrowseFox.btzx ( DrWEB: Trojan.Yontoo.3728 )
9. c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\7\resources\40.0.0.dll - not-a-virus:HEUR:AdWare.Win32.BrowseFox.gen ( DrWEB: Trojan.Yontoo.3728 )
10. c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\7\resources\45.0.1.dll - not-a-virus:HEUR:AdWare.Win32.BrowseFox.gen ( DrWEB: Trojan.Yontoo.3728 )
11. c:\programdata\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugins\8\plugin.exe - not-a-virus:AdWare.Win32.BrowseFox.btzx ( DrWEB: Trojan.Yontoo.3728 )
12. c:\programdata\microsoft\windows\start menu\programs\mozilla firefox.lnk - HEUR:Trojan.WinLNK.StartPage.gena
13. c:\programdata\microsoft\windows\start menu\programs\opera.lnk - HEUR:Trojan.WinLNK.StartPage.gena
14. c:\users\ilyinboris\appdata\roaming\microsoft\inte rnet explorer\quick launch\launch internet explorer browser.lnk - HEUR:Trojan.WinLNK.StartPage.gena
15. c:\users\ilyinboris\appdata\roaming\microsoft\inte rnet explorer\quick launch\user pinned\taskbar\internet explorer.lnk - HEUR:Trojan.WinLNK.StartPage.gena
16. c:\users\ilyinboris\appdata\roaming\microsoft\inte rnet explorer\quick launch\user pinned\taskbar\opera.lnk - HEUR:Trojan.WinLNK.StartPage.gena
17. c:\users\ilyinboris\appdata\roaming\microsoft\wind ows\start menu\programs\accessories\system tools\internet explorer (no add-ons).lnk - HEUR:Trojan.WinLNK.StartPage.gena
18. c:\users\ilyinboris\appdata\roaming\microsoft\wind ows\start menu\programs\internet explorer.lnk - HEUR:Trojan.WinLNK.StartPage.gena
19. c:\users\ilyinb~1\appdata\local\temp\{c7475e62-ac6c-4821-8d07-81734400f230}.xpi - not-a-virus:HEUR:AdWare.Win32.BrowseFox.gen ( DrWEB: Trojan.Yontoo.3728 )
20. c:\users\ilyinb~1\appdata\local\temp\{09817836-7f79-4b60-8048-5d0eba19e872}.xpi - not-a-virus:HEUR:AdWare.Win32.BrowseFox.gen ( DrWEB: Trojan.Yontoo.3728 )
21. c:\users\ilyinb~1\appdata\local\temp\{78c59a82-d08f-432a-9c5e-fae478b925cc}.dll - not-a-virus:HEUR:AdWare.Win32.Amonetize.gen ( DrWEB: Trojan.Yontoo.3728 )
22. c:\users\public\desktop\opera.lnk - HEUR:Trojan.WinLNK.StartPage.gena

Очень много рекламы, редирект на рекламные страницы [not-a-virus:HEUR:AdWare.Win32.Generic, not-a-virus:AdWare.Win32.BrowseFox.btzx ] (заявка № 195729)

Опции темы