Постоянно открываются страницы с казино [not-a-virus:HEUR:Downloader.Win32.AdLoad.gen ]

**gecko** · 01.10.2016, 19:59

Добрый день. У меня следующая проблема. При переходе по ссылкам браузер открывает новую вкладку и в ней открывает сайт, а вместо старой вкладки открывается страница онлайн казино. Проверка Касперским и Dr Web CureIt, результатов не дала. Помогите пожалуйста

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 01.10.2016, 20:00

Уважаемый(ая) gecko, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 02.10.2016, 10:31

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFileF('c:\users\n series\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('C:\Users\N Series\AppData\Local\Hostinstaller\3267088014_monster.exe', '');
 DeleteFile('C:\WINDOWS\Tasks\Uninstaller_SkipUac_N_Series.job', '64');
 DeleteFile('C:\Users\N Series\AppData\Local\Hostinstaller\3267088014_monster.exe', '32');
 DeleteFileMask('c:\program files (x86)\iobit', '*', true);
 DeleteFileMask('c:\users\n series\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\program files (x86)\iobit');
 DeleteDirectory('c:\users\n series\appdata\local\hostinstaller');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_N_Series" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
 RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyEnable', 'REG_DWORD', '0');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**gecko** · 02.10.2016, 10:47

Карантин отправил

**Vvvyg** · 02.10.2016, 22:12

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
AppInit_DLLs: C:\PROGRA~2\NVIDIA~1\3DVISI~1\NVSTIN~1.DLL => No File
AppInit_DLLs: , C:\Windows\system32\nvinitx.dll => No File
AppInit_DLLs: , C:\WINDOWS\system32\nvinitx.dll => No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKU\S-1-5-21-1837267079-2862551619-4089372396-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811005
BHO-x32: No Name -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> No File
FF Extension: (MadLen.uCoz.coM) - C:\Users\N Series\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\madlen.ucoz.com.xpi [2011-02-03] [not signed]
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.11
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
FF Extension: (Advanced SystemCare Surfing Protection) - C:\Users\N Series\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-09-24] [not signed]
CHR Extension: (Kaspersky Protection) - C:\Users\N Series\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhoibnponjcgjgcnfacekaijdbbplhib [2016-09-30]
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKU\S-1-5-21-1837267079-2862551619-4089372396-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ajkpgdiejopejkllbihfkpcbmgclpkij] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pleoihkpdomoijdpaibdciidfoeedamm] - hxxps://clients2.google.com/service/update2/crx
2016-09-24 14:58 - 2016-09-24 14:58 - 01681368 _____ (InstallPack) C:\Users\N Series\Downloads\InstallPack_Avz_70837.exe
2016-09-24 14:30 - 2016-09-24 14:30 - 00000000 ____D C:\Users\N Series\AppData\Roaming\ProductData
2016-09-24 14:29 - 2016-09-24 14:31 - 00000000 ____D C:\Users\N Series\AppData\LocalLow\IObit
2016-09-24 14:29 - 2016-09-24 14:29 - 00000000 ____D C:\WINDOWS\Tasks\ImCleanDisabled
2016-09-24 14:28 - 2016-09-24 14:31 - 00000000 ____D C:\ProgramData\ProductData
2016-09-24 14:28 - 2016-09-24 14:30 - 00000000 ____D C:\ProgramData\IObit
2016-09-24 14:28 - 2016-09-24 14:28 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-09-24 14:27 - 2016-09-24 14:35 - 00000000 ____D C:\Users\N Series\AppData\Roaming\IObit
2016-09-26 20:25 - 2016-09-26 20:25 - 0000000 _____ () C:\Program Files\360
2012-12-12 08:10 - 2012-12-12 08:10 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
2012-12-12 08:06 - 2012-12-12 08:08 - 0000110 _____ () C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
2012-12-12 08:09 - 2012-12-12 08:10 - 0000108 _____ () C:\ProgramData\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}.log
2012-12-12 08:04 - 2012-12-12 08:06 - 0000110 _____ () C:\ProgramData\{E3739848-5329-48E3-8D28-5BBD6E8BE384}.log
Task: {00BDC5EC-F4DD-4A5D-AC01-F367E7B8C6FD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {04A5DE7B-B164-4E53-AD37-43428C1AAB2F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {0DD2618E-7B72-4D2F-A2F2-9D1DAC422BCE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {1CC57B23-2D89-47D5-84A5-1F44B98FF634} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {2CCAFF29-80F9-490C-9009-1265D349DA69} - System32\Tasks\Private Trusted Helper => C:\Users\N Series\AppData\Local\Private Trusted Helper.exe
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\Windows\System32\AutoWorkplace.exe
Task: {4F00E06B-6EAE-420E-9317-92B927083934} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {51235D1D-8ADD-4EAB-A4FA-51BBDDDA29A1} - \WPD\SqmUpload_S-1-5-21-1837267079-2862551619-4089372396-1002 -> No File <==== ATTENTION
Task: {60B0BA1B-1927-4E49-8467-24F35587BECF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {76468276-D084-4DEE-9C66-0705C1118DE4} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {9870C38B-589A-4F1A-965F-03D064230458} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {C4EEE2FE-324B-4DFD-A542-C1B38B574E92} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {D7DA2D9B-49F8-49D4-8B70-83D544ABE6F3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {FF60FCC9-5857-4FE5-B495-B5ECBFF05487} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
C:\Users\N Series\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk 
ShortcutWithArgument: C:\Users\N Series\Desktop\Car Mechanic Simulator 2015.lnk -> D:\Games\Car Mechanic Simulator 2015\launcher.exe () -> "hxxp://yourconnectivity.net/?ssid=1474716033&a=1006158&src=sh&uuid=a165be51-60f5-4a11-a33d-894536f6b42f,1474716002494"
ShortcutWithArgument: C:\Users\N Series\Desktop\Start Tor Browser.lnk -> C:\Users\N Series\Desktop\Tor Browser\Browser\firefox.exe (Mozilla Corporation) -> "hxxp://yourconnectivity.net/?ssid=1474716033&a=1006158&src=sh&uuid=a165be51-60f5-4a11-a33d-894536f6b42f,1474716002494"
ShortcutWithArgument: C:\Users\N Series\Desktop\All\Проги\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://yourconnectivity.net/?ssid=1474716033&a=1006158&src=sh&uuid=a165be51-60f5-4a11-a33d-894536f6b42f,1474716002494"
C:\Users\N Series\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
HKU\S-1-5-21-1837267079-2862551619-4089372396-1002\...\StartupApproved\Run: => "GameCenterMailRu"
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\N Series\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2016-09-24] (Mail.Ru)
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**gecko** · 02.10.2016, 22:36

Проблема ушла. По крайней мере открыл около 10 сайтов, ни разу ничего не вылезло!

Благодарю

**Vvvyg** · 02.10.2016, 22:42

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 02.10.2016, 22:52

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\users\n series\appdata\local\hostinstaller\3267088014_mons ter.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen

Постоянно открываются страницы с казино [not-a-virus:HEUR:Downloader.Win32.AdLoad.gen ] (заявка № 204447)

Опции темы