При загрузке браузера открывается www.yoursites123.com [not-a-virus:AdWare.Win32.DealPly.brj ]

[Put]

Доброго времени суток. Сегодня при первом включении компьютера автоматически открылся Chrome и открыл на данный сайт. Тут же Касперский среагировал и оповестил меня о вирусе, что-то вылечил и перезагрузился. После перезагрузки я обнаружил, что Chrome удален, при запуске любого другого браузера все равно открывается первым делом сайт [удалено]. Я установил заново Chrome, но он также открывает [удалено]. Все настройки браузеров я скидывал, удалял страницу поиска [удалено] из настроек, но она все равно открывается. В списке установленных программ нет свежих приложений, которые могли бы прицепить данный вирус. Ни каких программ в последнее время я не устанавливал.
Далее еще несколько раз за день Касперский оповещал меня о вирусах, что-то удалял и перезагружался. Dr.Web CureIt! в безопаснике так же удалил 8 вредоносных программ, но после перезагрузки буквально через минут 20-30 Касперский опять оповестил о заражении и повторил в очередной раз лечение с перезагрузкой. После всех этих манипуляций все браузеры по-прежнему открывают [удалено]
По отчетам Каспера был удален heur.trojan.winlnk.startpage.gena , not-a-virus adware.win32.Agent.joiq ,
not-a-virus adware.win32.WProtManager.cm
Кроме этой проблемы уже давно мучает самопроизвольное открытие страниц в Chrome с различными рекламными сайтами к примеру [удалено]. Такое обычно происходит 1-2 раз за сутки, при этом не все сайты даже отображаются, просто открывается внезапно Chrome и пытается зайти на какую-то по всей видимости рекламную страницу. Каспер ничего не находил, переустановка Chorme не решала проблему.
Заранее, большое спасибо за помощь!

[Info_bot]

Уважаемый(ая) Put, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFileF('C:\Program Files (x86)\PriceMeterLiveUpdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0);
 QuarantineFileF('C:\Users\99E7~1\AppData\Roaming\PRICEM~1', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0);
 QuarantineFileF('C:\Program Files (x86)\RCP', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0);
 QuarantineFileF('C:\Users\99E7~1\AppData\Roaming\SAVESE~1', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0);
 QuarantineFileF('C:\Program Files (x86)\SaveSenseLive', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0);
 QuarantineFileF('C:\Program Files (x86)\VuuPC', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Виталий\AppData\Roaming\istartsurf', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Виталий\appdata\roaming\pricem~1', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0);
 QuarantineFile('C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe', '');
 QuarantineFile('C:\Users\99E7~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE', '');
 QuarantineFile('C:\Program Files (x86)\RCP\RegCleanPro.exe', '');
 QuarantineFile('C:\Users\99E7~1\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE', '');
 QuarantineFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe', '');
 QuarantineFile('C:\Program Files (x86)\VuuPC\VuuPCUpdater.exe', '');
 QuarantineFile('C:\Users\Виталий\AppData\Roaming\istartsurf\UninstallManager.exe', '');
 QuarantineFile('C:\Users\Виталий\appdata\roaming\pricem~1\update~1\update~1.exe', '');
 DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job', '64');
 DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job', '64');
 DeleteFile('C:\Windows\Tasks\PriceMeterUpdater.job', '64');
 DeleteFile('C:\Windows\Tasks\RegClean Pro_DEFAULT.job', '64');
 DeleteFile('C:\Windows\Tasks\RegClean Pro_UPDATES.job', '64');
 DeleteFile('C:\Windows\Tasks\SaveSense.job', '64');
 DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job', '64');
 DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job', '64');
 DeleteFile('C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe', '32');
 DeleteFile('C:\Users\99E7~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE', '32');
 DeleteFile('C:\Program Files (x86)\RCP\RegCleanPro.exe', '32');
 DeleteFile('C:\Users\99E7~1\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE', '32');
 DeleteFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe', '32');
 DeleteFile('C:\Program Files (x86)\VuuPC\VuuPCUpdater.exe', '32');
 DeleteFile('C:\Users\Виталий\AppData\Roaming\istartsurf\UninstallManager.exe', '32');
 DeleteFile('C:\Users\Виталий\appdata\roaming\pricem~1\update~1\update~1.exe', '32');
 DeleteFileMask('C:\Program Files (x86)\PriceMeterLiveUpdate', '*', true);
 DeleteFileMask('C:\Users\99E7~1\AppData\Roaming\PRICEM~1', '*', true);
 DeleteFileMask('C:\Program Files (x86)\RCP', '*', true);
 DeleteFileMask('C:\Users\99E7~1\AppData\Roaming\SAVESE~1', '*', true);
 DeleteFileMask('C:\Program Files (x86)\SaveSenseLive', '*', true);
 DeleteFileMask('C:\Program Files (x86)\VuuPC', '*', true);
 DeleteFileMask('C:\Users\Виталий\AppData\Roaming\istartsurf', '*', true);
 DeleteFileMask('C:\Users\Виталий\appdata\roaming\pricem~1', '*', true);
 DeleteDirectory('C:\Program Files (x86)\PriceMeterLiveUpdate');
 DeleteDirectory('C:\Users\99E7~1\AppData\Roaming\PRICEM~1');
 DeleteDirectory('C:\Program Files (x86)\RCP');
 DeleteDirectory('C:\Users\99E7~1\AppData\Roaming\SAVESE~1');
 DeleteDirectory('C:\Program Files (x86)\SaveSenseLive');
 DeleteDirectory('C:\Program Files (x86)\VuuPC');
 DeleteDirectory('C:\Users\Виталий\AppData\Roaming\istartsurf');
 DeleteDirectory('C:\Users\Виталий\appdata\roaming\pricem~1');
 ExecuteFile('schtasks.exe', '/delete /TN "PriceMeterLiveUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PriceMeterLiveUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PriceMeterUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RegClean Pro_DEFAULT" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RegClean Pro_UPDATES" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SaveSense" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VuuPCUpdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VuuPCUpdateLogin" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{DB6B3AAA-48A1-4A0C-8446-CD6FD31E751D}" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

[Put]

Все сделал. А нужно удалять то, что нашел AdwCleaner?

[Vvvyg]

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования если есть почта на Mail.Ru и/или используете программы от этого портала уберите галочки на вкладках Папки (Folders), Реестр (Registry) и вкладках браузеров со всех пунктов, где упоминаются Mail.Ru. Если используете программу Acestream? уберите также соответствующие галочки.
В пункте меню "Настройки" (Settings)установите галочку "Сброс политик Chrome".
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[Put]

После очистки AdwCleaner проблема исчезает, но после перезагрузки вновь появляется.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Put]

Сделал

[Vvvyg]

Деинсталлируйте Pandora Service.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-21-1829594428-2016515477-2705060398-1000\...\Run: [BrightnessController] => [X]
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450093512&z=463d9dc477b14338c1f264dgaz3w1e7e3t1c2caq7t&from=wpm07173&uid=WDCXWD5001AALS-00E3A0_WD-WCATR053506935069&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450093512&z=463d9dc477b14338c1f264dgaz3w1e7e3t1c2caq7t&from=wpm07173&uid=WDCXWD5001AALS-00E3A0_WD-WCATR053506935069&q={searchTerms}
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1450093512&z=463d9dc477b14338c1f264dgaz3w1e7e3t1c2caq7t&from=wpm07173&uid=WDCXWD5001AALS-00E3A0_WD-WCATR053506935069"
CHR HKLM\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - hxxps://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa
CHR HKLM-x32\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - hxxps://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa
CHR HKLM-x32\...\Chrome\Extension: [ifpjamfehjeobjanpappgckkmnhjnpgi] - C:\Users\Виталий\AppData\Roaming\Crx\Files\ifpjamfehjeobjanpappgckkmnhjnpgi_0.0.1.crx <not found>
2015-12-14 14:45 - 2015-12-15 01:59 - 00000000 ____D C:\ProgramData\3WdM3
2015-12-14 14:44 - 2015-12-15 01:51 - 00000000 ____D C:\Users\Все пользователи\WWdMW
Task: {F970AD7B-BD35-4A21-A529-33B7D85619D2} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
FirewallRules: [{49FE6C84-98E4-4397-A5B4-AB1BADF7BF4A}] => (Allow) C:\Program Files (x86)\PANDORA.TV\PanService\PandoraService.exe
FirewallRules: [{982CDD10-F492-4D6D-97AA-520C7E077CC5}] => (Allow) C:\Program Files (x86)\PANDORA.TV\PanService\PandoraService.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PriceMeterW" /f
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

[Put]

Проблема все еще осталась, но только в Chrome. В IE данный сайт больше не открывается. Правда в IE проблема ушла еще до очистки Фарбаром.

[Vvvyg]

Обновите AdwCleaner и сделайте новый лог.

[Put]

Готово

[Vvvyg]

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования в пункте меню "Настройки" (Settings)установите галочку "Сброс политик Chrome".
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C?].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[Put]

Не помогает очистка AdwCleanear. После перезагрузки и очистки кеша, запускаю Adw повторно и снова появляется данный сайт в закладке Chrome в Adw.

[Vvvyg]

Ещё раз лог Farbar Recovery Scan Tool сделайте.

[Put]

Готово

[Vvvyg]

Такой fixlist.txt примените:

Код:

CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1450093512&z=463d9dc477b14338c1f264dgaz3w1e7e3t1c2caq7t&from=wpm07173&uid=WDCXWD5001AALS-00E3A0_WD-WCATR053506935069"
CustomCLSID: HKU\S-1-5-21-1829594428-2016515477-2705060398-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Виталий\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1829594428-2016515477-2705060398-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Виталий\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1829594428-2016515477-2705060398-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Виталий\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1829594428-2016515477-2705060398-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Виталий\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1829594428-2016515477-2705060398-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Виталий\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1829594428-2016515477-2705060398-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Виталий\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1829594428-2016515477-2705060398-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Виталий\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1829594428-2016515477-2705060398-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Виталий\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1829594428-2016515477-2705060398-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Виталий\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1829594428-2016515477-2705060398-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Виталий\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV
EmptyTemp:
Reboot:

После перезагрузки прикрепите к сообщению Fixlog.txt.

Сделайте лог сканирования МВАМ.

[Put]

Все сделал. Кстати после фикса Farbar, при первой загрузке Chrome сам открывается и автоматически инсталирует AdBlock. Может вирус к AdBlock прицепился? Сам AdBlock уже давно стоит, еще до всех проблем был установлен и работал без проблем.

[Vvvyg]

Удалите в MBAM (переместите в карантин) всё, кроме:

Код:

Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 1856, , [a039d0da68234fe72f261742758bd62a]
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [a039d0da68234fe72f261742758bd62a], 
PUP.Optional.OpenCandy, D:\СОФТ\KMPlayer_EN_3.1.0.0_R2.exe, , [96439317018a80b6fea0802d14f016ea], 
HackTool.Agent, C:\Program Files (x86)\Microsoft Office\activator.exe, , [4495109a3e4dd56120f9630d09f8f907],

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Put]

Готово