Реклама в браузере, открывающиеся вкладки, всплывающие окна ВК, Skype, ICQ

[VL80S-FAN]

Насобирал опять какой-то дряни. При открытии браузера прямо в яндексе (и на других сайтах тоже, даже на вирусинфо) вверху большими буквами предлагают услуги лучших проституток питера, кроме этого всюду вылезают окна якобы ВК, Скайпа и ICQ с такими же предложениями. Кроме этого время от времени вылезают другие окна и открываются вкладки. Заранее спасибо.

[Info_bot]

Уважаемый(ая) VL80S-FAN, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

baidu удалите через Установку программ

timetasks.exe, если сами не устанавливали, тоже

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DelCLSID('{RU3Q45XT-51GG-1707-4103-03065M6DT32W}');
 QuarantineFile('C:\Users\Артём\AppData\Roaming\newSI_4396\s_inst.exe','');
 QuarantineFile('C:\Users\Артём\AppData\Roaming\newSI_2149\s_inst.exe','');
 QuarantineFile('C:\Users\Артём\AppData\Roaming\newSI_20107\s_inst.exe','');
 QuarantineFile('C:\Users\Артём\AppData\Roaming\newSI_1\s_inst.exe','');
 QuarantineFile('C:\ProgramData\Program status\scheck.exe','');
 QuarantineFile('C:\Users\Артём\AppData\Roaming\10829\svchost.exe','');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarsound.exe');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarsound.exe','');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','');
 TerminateProcessByName('c:\windows\svchost.exe');
 QuarantineFile('c:\windows\svchost.exe','');
 TerminateProcessByName('c:\users\Артём\appdata\roaming\subsystem.exe');
 QuarantineFile('c:\users\Артём\appdata\roaming\subsystem.exe','');
 TerminateProcessByName('c:\users\Артём\appdata\roaming\google.ec.exe');
 TerminateProcessByName('c:\windows\ddgit.exe');
 QuarantineFile('c:\windows\ddgit.exe','');
 QuarantineFile('c:\users\Артём\appdata\roaming\google.ec.exe','');
 DeleteFile('c:\windows\ddgit.exe','32');
 DeleteFile('c:\users\Артём\appdata\roaming\google.ec.exe','32');
 DeleteFile('c:\users\Артём\appdata\roaming\subsystem.exe','32');
 DeleteFile('c:\windows\svchost.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarsound.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 DeleteFile('C:\Users\Артём\AppData\Roaming\10829\svchost.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Security');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
 DeleteFile('C:\Users\Артём\AppData\Roaming\newSI_1\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_1.job','64');
 DeleteFile('C:\Users\Артём\AppData\Roaming\newSI_20107\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_20107.job','64');
 DeleteFile('C:\Users\Артём\AppData\Roaming\newSI_2149\s_inst.exe','32');
 DeleteFile('C:\Users\Артём\AppData\Roaming\newSI_4396\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_4396.job','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_20107','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_2149','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_4396','64');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\newSI_4396', '*', true);
DeleteDirectory('C:\Users\Артём\AppData\Roaming\newSI_4396');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\newSI_2149', '*', true);
DeleteDirectory('C:\Users\Артём\AppData\Roaming\newSI_2149');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\newSI_20107', '*', true);
DeleteDirectory('C:\Users\Артём\AppData\Roaming\newSI_20107');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\newSI_1', '*', true);
DeleteDirectory('C:\Users\Артём\AppData\Roaming\newSI_1');
DeleteFileMask('C:\Users\Артём\AppData\Roaming\10829', '*', true);
DeleteDirectory('C:\Users\Артём\AppData\Roaming\10829');
DeleteFileMask('C:\Program Files (x86)\Mobogenie', '*', true);
DeleteDirectory('C:\Program Files (x86)\Mobogenie');
DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
DeleteDirectory('c:\program files (x86)\zaxar');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=905f4793a936c089ec85bacfbca827ff&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=905f4793a936c089ec85bacfbca827ff&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=905f4793a936c089ec85bacfbca827ff&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=905f4793a936c089ec85bacfbca827ff&text=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=;ftp=;https=;
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\svchost.exe
O4 - HKCU\..\Run: [NextLive] C:\Windows\SysWOW64\rundll32.exe "C:\Users\Артём\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=905f4793a936c089ec85bacfbca827ff&text=

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[VL80S-FAN]

Сделал всё как написали, удалил байду с таймтасксом, выполнил скрипт в авз - компьютер перезагрузился, сделал фикс в HiJack (кроме F2 - REG:... его не было) и перезагрузил компьютер ещё раз. Проблема осталась, ничего не поменялось, как вылезали окна и открывались вкладки так и вылезают. Сейчас поновой собираю логи, в карантин ничего не попало, остался только автокарантин, который был создан при сканировании.

[VL80S-FAN]

Прикрепляю логи avz и HiJack, MBAM пока сканирует, видимо это надолго... Нужно срочно уйти из дома, посмотрите пока то что есть.

[thyrex]

Ждем лог МВАМ

[VL80S-FAN]

Вот и лог MBAM (не прошло и десяти часов):

[thyrex]

Поместите в карантин МВАМ всё, кроме

Код:

Рrocesses: 1
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 2252, , [8abd7453ec8f86b05048124b56aabd43]

Files: 53
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [8abd7453ec8f86b05048124b56aabd43], 
PUP.Optional.Softonic.A, C:\Users\??N?N?N???\Downloads\SoftonicDownloader_for_hamachi.exe, , [a4a3fec91a61dd596c0d3fec20e16b95], 
PUP.Optional.Fiseria, C:\Users\??N?N?N???\Downloads\videoplayer.exe, , [d275388f8bf0ee481ab5bde49a6734cc], 
PUP.Optional.WinSolution, C:\Users\??N?N?N???\Downloads\Download.Setup_s.exe, , [b196fec9314ad6604d4a254ab34e6e92], 
PUP.Optional.Spigot.A, C:\Users\??N?N?N???\Downloads\PlatinumHideIP-3.3.3.6.Setup.exe, , [b98ec106e596f541da496ec2728f44bc], 
Trojan.Agent.BDE, C:\Users\??N?N?N???\Downloads\Hack for URM RolePlay.rar, , [9aad16b11269d561a625593684804bb5], 
Trojan.Onlinegames, C:\Users\??N?N?N???\Downloads\MyRole(2013).rar_15086593_76_letB.exe, , [cd7a4f780576e0566af165cda260669a], 
PUP.Optional.Somoto.A, C:\Users\??N?N?N???\Downloads\toEdit_downloader-1y3K7Z0x.exe, , [ee594681790232048a75abee8c7854ac], 
PUP.Optional.LoadMoney, C:\Users\??N?N?N???\Downloads\1344927202_mta-map-editor-with-samp-objects-rev-b3.exe, , [ca7d755282f90b2bcab2bd8817ea7f81], 
PUP.Optional.iDatix, C:\Users\??N?N?N???\Downloads\multiplayer-cr-g-install (1).exe, , [ef583097daa189addea4e771bc4530d0], 
PUP.Optional.LoadMoney, C:\Users\??N?N?N???\Downloads\multiplayer-cr-g-install (3).exe, , [76d1695e5724e3538c165233b948be42], 
PUP.Optional.Dropper, C:\Users\??N?N?N???\Downloads\Firefighter pack.exe, , [84c3a027f88394a28e1dc786e71915eb], 
PUP.Optional.iDatix, C:\Users\??N?N?N???\Downloads\srv-cr-mp-c3-win.exe, , [390e2d9ac1ba7eb8037f4d0b7b86c937], 
PUP.Keygen.Intro, C:\Users\??N?N?N???\Downloads\Mootools Polygon Cruncher 10.21.21\Mootools Polygon Cruncher 10.21.21\Mootools Polygon Cruncher 10.21.21\CORE10k.EXE, , [44038e397308f0463e5a9fe429dbf60a], 
Spyware.Zbot.ED, C:\Program Files (x86)\MegaFon Internet\MegaFon Internet.exe, , [81c697303546ac8a9d019be1fc05cc34], 
PUP.Optional.TenkiTechnology, C:\Program Files (x86)\PlatinumHideIP\PlatinumHideIP.exe, , [9daa586fe2990a2c86352e8f17ed58a8], 
Malware.Packer.Gen, C:\PhSh_CS3.RUSS.Micro\Portable.A.P.CS3.RUS.Micro\Msvcrt.dll, , [6fd856715922a88e58812f27857bdb25], 
PUP.Hacktool.Patcher, D:\???????°N? ???°?????°\Platinum_Hide_IP_2.1.1.2.zip, , [b39473543a41ab8bb80c729351af5ba5], 
PUP.Hacktool.Patcher, D:\???????°N? ???°?????°\Platinum_Hide_IP_2.1.1.2\Platinum Hide IP 2.1.1.2\patch\platinum.hide.ip.download.2.0.xxx-patch.exe, , [d671cafd7cff7abce1e30302d0304db3], 
PUP.Riskware.Patcher, D:\???????°N? ???°?????°\Crack\patch.exe, , [7dcab512fa816acc8e284ac2768b9769], 
RiskWare.Tool.HCK, D:\CorelDRAW Graphics Suite X6 16.1.0.843 SP1 RePack by MKN\keygen.exe, , [c681f0d76d0efb3b51f625ee54aef50b], 
RiskWare.Tool.HCK, D:\Downloads\Autodesk_3ds_Max_2009+SP1\Activation\XF-MAX2k9-32bit-KG.exe, , [6ed9aa1d780326100cd125e44cb61de3], 
PUP.Hacktool, D:\Downloads\Microsoft Office 2010 with SP1 VL [VLSC] Russian\mKMS_v1.072-FIXED\mini-KMS_Activator_v1.072_EN.exe, , [aa9d4582c2b9a591cbbaa8dc22deea16], 
PUP.Hacktool, D:\Downloads\Microsoft Office 2010 with SP1 VL [VLSC] Russian\mKMS_v1.072-FIXED\mini-KMS_Activator_v1.072_RU.exe, , [182fdbecfc7f0d292c59493be91721df], 
PUP.Hacktool, D:\Downloads\Microsoft Office 2010 with SP1 VL [VLSC] Russian\mKMS_v1.072-FIXED\mini-KMS Activator RU\mKMSAct.exe, , [1e295374a9d2ca6cfc89dfa55ba5c33d], 
Trojan.Agent, D:\Downloads\OMSI 2\OMSI 2\steam_api.dll, , [59ee586fa4d740f63a0756fde1203bc5],

[VL80S-FAN]

Это можно сделать как-нибудь быстро? Или нужно по одному отбирать где-то?
Там их всего 58 было, не легче написать список того, что НУЖНО в карантин? Это же часа 3 перебирать.

[Vvvyg]

Дело в том, что по умолчанию на всех строках стоят галочки "Карантин", так что Вам их всё равно снимать придётся.
Можно, конечно, вычистить все кряки/кейгены и начать новую жизнь...

[VL80S-FAN]

Да я просто после сканирования сразу всё это в карантин запихнул, теперь нужно оттуда вытащить то, чего там быть не должно. Был бы список того, что нужно в карантин, я бы выделил и удалил, а остальное восстановил.

Понял. Там не 53, а 26 на самом деле в списке. И 1 процесс. Всего 27 удалил. Остальное пока в карантине оставил, сейчас перезагружусь и посмотрю.

- - - Добавлено - - -

Всё было помещено в карантин ещё вчера. Сегодня то, что надо было в карантин удалил (Delete, а не Restore, а то подумаете что из карантина выпустил), то что не надо на всякий случай оставил, чтоб не сканировать по-новой, ибо процесс этот чуть ли не 9 часов занял. Окна как всплывали так и вплывают, со вкладками та же хрень. Просто не могу уже.

[Vvvyg]

Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

Scan All Users
Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
Lop Check;
Purity Check.

В окне File Age установите 30 days
Остальные параметры оставьте по умолчанию.
Скопируйте текст

Код:

%USERPROFILE%\AppData\Local\*.url /S
%USERPROFILE%\AppData\Local\*.lnk /S
%PROGRAMFILES%\*.url /S
%PROGRAMFILES%\*.lnk /S
%ProgramFiles(x86)%\*.lnk /S
%ProgramFiles(x86)%\*.url /S
%CommonProgramFiles%\*.*

в окно Custom Scans/Fixes и нажмите Run Scan.

После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.

[VL80S-FAN]

Такого ещё никогда не было, обычно хватало скрипта в avz...
Вот лог, который вы просили:

[Vvvyg]

Отключите до перезагрузки антивирус, запустите OTL (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора), скопируйте скрипт ниже в окно Custom Scans/Fixes, закройте все браузеры и нажмите Run Fix

Код:

:processes

:OTL
IE - HKU\S-1-5-21-2352527867-2094388307-2666628203-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: "URL" = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=905f4793a936c089ec85bacfbca827ff&text={searchTerms}
IE - HKU\S-1-5-21-2352527867-2094388307-2666628203-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}: "URL" = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=905f4793a936c089ec85bacfbca827ff&text=
CHR - Extension: Ask Toolbar = C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaajepdnhoaepmhbcinpphpaiennofj\30.1_0\
CHR - Extension: SuperMegaBest.com = C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\3.5.14_0\
O4 - HKLM..\Run: [Schedule] "C:\ProgramData\Schedule\timetasks.exe" File not found
[2014.08.17 01:25:26 | 000,000,000 | ---D | C] -- C:\Users\Артём\AppData\Roaming\newSI_2149
[2014.08.17 01:25:21 | 000,000,000 | ---D | C] -- C:\Users\Артём\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
[2014.08.14 15:25:50 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ШоппингГид
[2014.08.14 15:25:19 | 000,000,000 | ---D | C] -- C:\Users\Артём\AppData\Roaming\eTranslator
[2014.08.18 15:40:05 | 000,000,416 | ---- | M] () -- C:\Windows\tasks\newSI_2149.job
[2014.08.17 01:26:27 | 000,000,040 | ---- | M] () -- C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
[2014.08.17 01:26:27 | 000,000,040 | ---- | M] () -- C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
[2014.08.14 15:27:01 | 000,000,043 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\chrome.url
[2014.08.14 15:27:01 | 000,000,043 | ---- | M] () -- C:\Program Files (x86)\Internet Explorer\iexplore.url
[2014.08.14 15:27:01 | 000,000,043 | ---- | M] () -- C:\Program Files (x86)\Opera\launcher.url

:Files

msiexec.exe /X{4849502D-5637-006A-76A7-A758B70C0A00} /quiet /qn /norestart /c
recycler /alldrives

:Commands
[EMPTYTEMP]
[purity]
[Reboot]

Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.

Скачайте FixerBro by glax 24 и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку.

Запустите FixerBro. Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да.

В главном окне программы нажмите на кнопку "Проверить".
Когда сканирование будет завершено, отчет будет сохранен в папке: C:\FixerBro (имя вида FixerBro_yyyymmdd.txt)
По окончании сканирования нажмите на кнопку "Отчет".
Сохраните лог утилиты и прикрепите сохраненный отчет к своему следующему сообщению.

[VL80S-FAN]

Логи:

[Vvvyg]

Поставьте галочки напротив всех строк, найденных программой и нажмите на кнопку Исправить. Дождитесь окончания удаления.
После завершения очистки ярлыков отчет будет сохранен в папке C:\FixerBro. (Лог с именем FixerBro_yyyymmdd.txt).
По окончанию удаления нажмите на кнопку "Отчет", сохраните и прикрепите в теме.

Сообщите, что с проблемой.

[VL80S-FAN]

Лог исправлений:

[Vvvyg]

Что с проблемой?

[VL80S-FAN]

Не знаю, вроде реклама проституток пропала, но теперь вылезают окна то с товарами из китая, то карту какого-то Рокет Банка предлагают получить. Пропали окна типа ВК, Skype, ICQ. Кстати, в том же ВК стандартная реклама слева под списком "Моя... " заменена на блок всякой белеберды про похудение и пр. Всё бы ничего, но вся эта дрянь получена одним разом, т.е. как только это всё проявилось я и написал...
-----
Ещё с момента проявления этой дряни в гугле (во всех браузерах) началась какая-то муть:

В тёмно-сером квадрате должна открываться картинка по которой кликаешь с описанием и пр...

[Vvvyg]

Посмотрите настройки DNS-сервера на роутере: http://192.168.0.50/. Есть подозрение, что подменили DNS.