Torrentino.com + Баннеры + Вредоносные страницы

[addrss]

При попытке запуска многих приложений открывается браузер со страницей torrentino.com.
А так же на страницах сайтов появляются различные рекламные баннеры и в новых вкладках открываются вредоносные сайты (даже на тех сайтах где этих баннеров быть не должно, в том числе и на этом)

[Info_bot]

Уважаемый(ая) addrss, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Ярлыки запуска браузеров и Punto Switcher пересоздайте

[addrss]

Спасибо, исправил!

[mrak74]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
  QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','');
  QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
  QuarantineFile('C:\Program Files (x86)\Yandex\Punto Switcher\punto.url','');
  QuarantineFile('C:\Users\admin\AppData\Local\ScheduleCD\ScheduleCD.exe','');
  QuarantineFile('C:\Users\admin\appdata\roaming\digita~1\update~1\update~1.exe','');
  DeleteFile('C:\Users\admin\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
  DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
  DeleteFile('C:\Windows\system32\Tasks\DigitalSite.job','64');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[addrss]

карантин по ссылке загрузил, но пароль автоматически назначен не был. загрузил без него.
новые логи прикрепил вложениями (старые удалил из вложений)

[mrak74]

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

Новые логи приложите к теме. По предыдущим писать скрипт лечения уже не актуально.

[addrss]

я новые логи приложил, а старые удалил из вложений

[mrak74]

Новый ответ, новые логи, так удобнее и правильнее, удаляем старые только в случае если закончилось место для вложений.

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
 DeleteFile('C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
ExecuteSysClean;
RebootWindows(true);
end.

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[thyrex]

+ Сделайте лог полного сканирования МВАМ

[addrss]

скрипт выполнил
скрипт ScanVuln.txt выполнил, установил все по ссылкам, перезагрузил (было 10 уязвимостей)
после перезагрузки скрипт ScanVuln.txt выполнил заново, он снова нашел те же самые уязвимости (но уже 6 штук).
На всякий случай поставил указанные обновления повторно.После перезагрузки они все равно остались.

если это важно, то вот эти:

Поиск критических уязвимостей
Уязвимости в протоколе SMB делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...4-07A30B5640D8

Установите новый Internet Explorer
http://windows.microsoft.com/ru-ru/i...er/download-ie

Накопительное обновление системы безопасности для битов аннулирования ActiveX
http://www.microsoft.com/downloads/d...c-43c6dd6cb78e

Уязвимость драйверов режима ядра Windows, делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...a-323d304dd633

Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...d-b6476668cd23

Уязвимости драйверов режима ядра Windows делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...f-de2501c8d40e

новые логи AVZ и HiJack:

Вложение 451413
Вложение 451414

Лог МВАМ:

Вложение 451415

[thyrex]

Удалите в МВАМ все, кроме

Код:

Обнаруженные папки:  22
C:\Users\admin\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\admin\AppData\Roaming\OpenCandy\98062705343A4BEC90465826A7810DE6 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\admin\AppData\Roaming\OpenCandy\D173170CC2B74310BBE5BC0C399D912E (PUP.Optional.OpenCandy) -> Действие не было предпринято.

C:\Users\admin\Downloads\FreeAudioCDToMP3Converter.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\admin\Downloads\hip-hop_ptaha_-_starye_tayny_-_2012_mp3_320_kbps.exe (PUP.Optional.Zona) -> Действие не было предпринято.
C:\Users\admin\Downloads\MediaGet_id4713134ids2s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Users\admin\Downloads\MediaGet_id4713603ids2s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Users\admin\Downloads\rap_ptaha_centr_-_starye_tayny_-_2012_mp3_320_kbps (1).exe (PUP.Optional.Zona) -> Действие не было предпринято.
C:\Users\admin\Downloads\rap_ptaha_centr_-_starye_tayny_-_2012_mp3_320_kbps.exe (PUP.Optional.Zona) -> Действие не было предпринято.
C:\Users\admin\Downloads\VideoConverterSetup.exe (PUP.Optional.Jumpyapps) -> Действие не было предпринято.
C:\Users\admin\AppData\Roaming\OpenCandy\98062705343A4BEC90465826A7810DE6\hfza_2018.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\admin\AppData\Roaming\OpenCandy\D173170CC2B74310BBE5BC0C399D912E\PokkiInstaller.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято

[addrss]

Удалил в MBAM всё, кроме указанного.
Лог после удаления:
Вложение 451576

Уже можно удалить MBAM или еще рано?
сегодня друг еще потестит скажет осталась проблема или нет

[mrak74]

Удалите MBAM.

сегодня друг еще потестит скажет осталась проблема или нет

Ждём ответа.

- - - Добавлено - - -

Удалите MBAM.

сегодня друг еще потестит скажет осталась проблема или нет

Ждём ответа.

[addrss]

Всем спасибо большое за помощь. Проблема решена. Премного благодарен. Классный форум!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены