При запуске браузера открываются сайты moviehits.info - trafflabuc.ru - megogo редиректом (!) [not-a-virus:Downloader.MSIL.Agent.glj, not-a-virus:AdWare.BAT.Clicker.af ]

[akrossv]

Здравствуйте! Видимо где то в сети интернет подхватил что то, в итоге установились левые программы (surfing protection и др.) и при запуске браузера открываются сайты moviehits.info - trafflabuc.ru - megogo редиректом. Во вложении информация. Спасибо за помощь!

Пытался вылечить антивирусом, ничего не помогло и программой SpyHunter - эффекта нет.

P.S. Точно такая же проблема как и в этой теме: http://virusinfo.info/showthread.php?t=191440 . Данные во вложении мои...

[Info_bot]

Уважаемый(ая) akrossv, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Alex\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','');
 QuarantineFile('C:\Users\Alex\AppData\Local\Hostinstaller\3235709489_installcube.exe','');
 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\ProgramData\udDzifrhcdSnYD\OrULPqgJFEh0.bat','');
 DeleteFile('C:\ProgramData\udDzifrhcdSnYD\OrULPqgJFEh0.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
 DeleteFile('C:\Windows\system32\Tasks\SpyHunter4Startup','32');
 DeleteFile('C:\Users\Alex\AppData\Local\Hostinstaller\3235709489_installcube.exe','32');
 DeleteFile('C:\Users\Alex\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте лог CheckBrowsers' Lnk

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[akrossv]

Не могу до конца выполнить скрипт в программе AVZ, программа неоднократно прекращает работу... Что не так, в чем проблема?

Антивирус - выключен, все программы по возможности выгружены, интернет на время работы программы выключен...

[thyrex]

Сделайте лог полного сканирования МВАМ

+ жду дополнительный лог, который я просил

[akrossv]

Карантин выслал, логи новые сделал. Программой AVZ - скрипты не выполнял, она так по прежнему и вылетает. Сделал программой Malwarebytes Antimalware!

Прикрепил все...

[thyrex]

Удалите в МВАМ все найденное

+ Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке



3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

[akrossv]

Все выполнил. Отчет прикрепил.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[akrossv]

Сделал...

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4224471382-537805054-4285130365-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-4224471382-537805054-4285130365-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-4224471382-537805054-4285130365-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-09-14]
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.mystartsearch.com/?type=sc&ts=1425593154&from=cvs&uid=WDCXWD5000AAKS-75A7B0_WD-WCASY058670586705
2015-10-25 16:42 - 2015-10-27 14:49 - 00000000 ____D C:\Users\Все пользователи\udDzifrhcdSnYD
2015-10-25 16:42 - 2015-10-27 14:49 - 00000000 ____D C:\ProgramData\udDzifrhcdSnYD
2015-10-25 16:42 - 2015-10-25 16:42 - 00000000 ____D C:\Users\Все пользователи\wbNZZluOoGt
2015-10-25 16:42 - 2015-10-25 16:42 - 00000000 ____D C:\Users\Все пользователи\PLMQJbgjYLSnHJG
2015-10-25 16:42 - 2015-10-25 16:42 - 00000000 ____D C:\ProgramData\wbNZZluOoGt
2015-10-25 16:42 - 2015-10-25 16:42 - 00000000 ____D C:\ProgramData\PLMQJbgjYLSnHJG
2015-07-21 10:44 - 2015-07-21 10:44 - 0000114 ____H () C:\Program Files\diary.bat
2015-07-21 10:44 - 2014-10-20 12:01 - 0284672 ____H (ООО Яндекс) C:\Program Files\diаry.bаt.exe
2015-07-21 10:44 - 2015-07-21 10:44 - 0000116 ____H () C:\Program Files\layouts.bat
2015-07-21 10:44 - 2014-10-20 12:00 - 0027648 ____H (ООО Яндекс) C:\Program Files\lаyоuts.bаt.exe
2015-07-21 10:44 - 2015-07-21 10:44 - 0000111 ____H () C:\Program Files\ps.bat
2015-07-21 10:44 - 2015-07-21 10:44 - 0000114 ____H () C:\Program Files\punto.bat
2015-07-21 10:44 - 2014-10-20 12:01 - 1584128 ____H (ООО Яндекс) C:\Program Files\puntо.bаt.exe
2015-07-21 10:44 - 2015-07-21 10:44 - 0000117 ____H () C:\Program Files\WelcomeToPunto.bat
C:\Users\Alex\AppData\Local\Temp\kometa_vd.exe
C:\Users\Alex\AppData\Local\Temp\qq-bundle.exe
C:\Users\Alex\AppData\Local\Temp\vuupc.exe
Task: {6FA2FB41-360B-444A-ADB2-AF2BA1C403BF} - \Soft installer -> No File <==== ATTENTION
Task: {7552F79A-3771-4BC1-ACC1-4F1A852E7294} - \chrome5_logon -> No File <==== ATTENTION
Task: {B087D43B-897D-4177-B229-86F2EF314979} - \LaunchSignup -> No File <==== ATTENTION
Task: {C3C90120-A946-4815-B979-BA5D3A52A6D2} - \SpyHunter4Startup -> No File <==== ATTENTION
Task: {CF1BD2A5-D268-4B84-B784-E08BBC603B5B} - \chrome5 -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\Users\Public\.DS_Store:AFP_AfpInfo
AlternateDataStreams: C:\Users\Public\Documents\.DS_Store:AFP_AfpInfo
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[akrossv]

Сделал. Прикрепил лог-файл...

[thyrex]

Что с проблемой?

[akrossv]

Проблема пропала, но как бы не полностью... Когда открываешь браузер Opera (по умолчанию), был запуск с редиректом и сразу сыпались окна с сайтами. Сейчас такого нет. Все хорошо, открываешь везде все чисто, реклам разного рода не замечаю. Проблем с Oper'ой не наблюдаю... Но вот когда серфингую по интернету с помощью браузера Google Chrome, допустим к примеру возьму этот форум "virusinfo.info", после того как на него зашел хочу выбрать любой раздел данного форума, то есть перейти по ссылке, меня выбрасывает в новое окно с непонятными сайтами, но они не загружаются, и так постоянно приходится закрывать то самое новое окно, которое сыпется само по себе... Как то так...

А так то самая основная проблема ушла. Спасибо.

[thyrex]

Очистите куки и кэш браузеров

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 14
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\iexplore.bat - not-a-virus:AdWare.BAT.Clicker.af
  2. c:\users\alex\appdata\local\hostinstaller\32357094 89_installcube.exe - not-a-virus:Downloader.MSIL.Agent.glj
  3. c:\users\alex\appdata\roaming\funspace\shadow\funs pace.update\funspace.update.process.exe - not-a-virus:Downloader.Win32.Agent.eatt ( DrWEB: Adware.Downware.5217 )