Хаотичное открытие (переназначение) сайтов в браузерах.

**JVL** · 26.11.2016, 20:07

Здравствуйте! Проблема моя тривиальная, браузеры хаотично, произвольно открывают новые (или переназначают открытые) закладки. В основном это какие то игрушки, некоторые отсекает Касперский (в силу их печальной известности). Причем пробовал различные браузеры – Chrome, Opera, Explorer. Chrome переустановил – без толку. Происходит это довольно интенсивно, работать невозможно, поэтому пишу Вам, сначала в редакторе, потом перенесу на страницу (если успею). Файлы делал по инструкции. Заметна одна особенность – перед сменой сайта значок прогресса на ярлыке закладки начинает вращаться и если в это время нажать на «Х» в левом верхнем углу окна, то процесс срывается (правда потом возобновляется снова). Но когда значки вращаются у всех закладок, борьба бесполезна.
Windows7 32, AVZ v4.46, HijackThis v2.0.5,Kaspersky Endpoint Security 8 v8.1.0.1042(показывает 2 угрозы)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.11.2016, 20:08

Уважаемый(ая) JVL, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 27.11.2016, 19:52

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\PROGRA~2\f9f152af\bf6a1fc6.dll','');
 QuarantineFile('C:\Users\Владимир\AppData\Local\Hostinstaller\1414905028_monster.exe','');
 QuarantineFile('C:\Program Files\Max Driver Updater\maxdu.exe','');
 QuarantineFile('C:\Program Files\Torrent Search\dDp7fTd.exe','');
 QuarantineFile('C:\Program Files\Max Driver Updater\wizzcaster.exe','');
 DeleteFile('C:\Program Files\Max Driver Updater\wizzcaster.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Caster');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32');
 DeleteFile('C:\Program Files\Torrent Search\dDp7fTd.exe','32');
 DeleteFile('C:\Program Files\Max Driver Updater\maxdu.exe','32');
 DeleteFile('C:\Windows\Tasks\MAXDriverUpdater_UPDATES.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
 DeleteFile('C:\Users\Владимир\AppData\Local\Hostinstaller\1414905028_monster.exe','32');
 DeleteFile('C:\PROGRA~2\f9f152af\bf6a1fc6.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\{7892A827-07A8-9959-67EB-774E63325975}','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

**JVL** · 27.11.2016, 22:39

Выполнил.
Файлы повторного анализа.

**JVL** · 28.11.2016, 21:04

Странно…, наблюдаю за браузером второй день и вот что сегодня заметил:- эта карусель пропала со страниц, на которых она раньше была точно. Но за то появилась на ВАШЕЙ странице!!! Например, на первой странице открываю почту (mail.ru ), все нормально. Открываю вторую страницу и на ней вхожу в магазин (AliExpress), все нормально. Открываю третью страницу и на ней вхожу на форум (4pda), все нормально. На всех страницах можно нормально работать. Открываю четвертую страницу и на ней вхожу на Ваш форум, начинается карусель, крутится колесо прогресса, страница вылетает на другие сайты, только эта страница, остальные по-прежнему работают нормально, открываются новые страницы. Вот такие дела.

**thyrex** · 01.12.2016, 19:29

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**JVL** · 01.12.2016, 22:09

Выполнил.

**thyrex** · 04.12.2016, 11:34

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{DE352CB5-F22E-4127-8EC5-2E8C1C92134A}: [NameServer] 82.163.143.176 82.163.142.178
FF Extension: (supermegabest) - C:\Users\Владимир\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\[email protected] [2016-03-21]
CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3605779191-1372245702-4087399845-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3605779191-1372245702-4087399845-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3605779191-1372245702-4087399845-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S2 ContentProtector; "C:\Program Files\ContentProtector\ContentProtector.exe" [X]
S2 ContentProtectorUpdate; "C:\Program Files\ContentProtector\ContentProtectorUpdate.exe" [X]
S1 ContentProtectorDrv; \??\C:\Windows\system32\drivers\ContentProtectorDrv.sys [X]
2016-11-26 20:38 - 2016-11-26 20:38 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-4bf3-1
2016-11-26 20:38 - 2016-11-26 20:38 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-2607-0
2016-11-26 20:38 - 2016-11-26 20:38 - 00000000 ____D C:\ProgramData\4e77eb66-4bf3-1
2016-11-26 20:38 - 2016-11-26 20:38 - 00000000 ____D C:\ProgramData\4e77eb66-2607-0
2016-11-26 14:38 - 2016-11-26 14:38 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-5cb3-1
2016-11-26 14:38 - 2016-11-26 14:38 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-1a67-0
2016-11-26 14:38 - 2016-11-26 14:38 - 00000000 ____D C:\ProgramData\4e77eb66-5cb3-1
2016-11-26 14:38 - 2016-11-26 14:38 - 00000000 ____D C:\ProgramData\4e77eb66-1a67-0
2016-11-26 14:33 - 2016-11-26 17:03 - 00000000 ____D C:\Users\Все пользователи\{A5A80193-1203-B638-32D9-CC62200393BE}
2016-11-26 14:33 - 2016-11-26 17:03 - 00000000 ____D C:\ProgramData\{A5A80193-1203-B638-32D9-CC62200393BE}
2016-11-26 14:33 - 2016-11-26 17:02 - 00000000 ____D C:\Users\Все пользователи\{E822FC58-5F89-4BF3-1D85-84D2BBEE274F}
2016-11-26 14:33 - 2016-11-26 17:02 - 00000000 ____D C:\Users\Все пользователи\{DF395D65-6892-EACE-3EFA-A4F0CECC9397}
2016-11-26 14:33 - 2016-11-26 17:02 - 00000000 ____D C:\ProgramData\{E822FC58-5F89-4BF3-1D85-84D2BBEE274F}
2016-11-26 14:33 - 2016-11-26 17:02 - 00000000 ____D C:\ProgramData\{DF395D65-6892-EACE-3EFA-A4F0CECC9397}
2016-11-26 14:33 - 2016-11-26 14:34 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-4887-0
2016-11-26 14:33 - 2016-11-26 14:34 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-01c7-0
2016-11-26 14:33 - 2016-11-26 14:34 - 00000000 ____D C:\ProgramData\4e77eb66-4887-0
2016-11-26 14:33 - 2016-11-26 14:34 - 00000000 ____D C:\ProgramData\4e77eb66-01c7-0
2016-11-26 14:33 - 2016-11-26 14:33 - 00000000 ____D C:\Users\Все пользователи\{5dd270ad-012c-1}
2016-11-26 14:33 - 2016-11-26 14:33 - 00000000 ____D C:\Users\Все пользователи\{00606c32-412c-0}
2016-11-26 14:33 - 2016-11-26 14:33 - 00000000 ____D C:\ProgramData\{5dd270ad-012c-1}
2016-11-26 14:33 - 2016-11-26 14:33 - 00000000 ____D C:\ProgramData\{00606c32-412c-0}
2016-10-27 15:46 - 2016-11-26 14:33 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-6c57-0
2016-10-27 15:46 - 2016-11-26 14:33 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-20c1-1
2016-10-27 15:46 - 2016-11-26 14:33 - 00000000 ____D C:\ProgramData\4e77eb66-6c57-0
2016-10-27 15:46 - 2016-11-26 14:33 - 00000000 ____D C:\ProgramData\4e77eb66-20c1-1
2016-10-26 16:05 - 2016-10-26 16:05 - 00000000 ____D C:\Program Files\Common Files\Skype
2016-10-26 15:46 - 2016-10-26 16:02 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-6247-1
2016-10-26 15:46 - 2016-10-26 16:02 - 00000000 ____D C:\ProgramData\4e77eb66-6247-1
2016-10-26 15:46 - 2016-10-26 15:46 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-3433-0
2016-10-26 15:46 - 2016-10-26 15:46 - 00000000 ____D C:\ProgramData\4e77eb66-3433-0
2016-10-25 15:46 - 2016-10-25 16:33 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-3f15-1
2016-10-25 15:46 - 2016-10-25 16:33 - 00000000 ____D C:\ProgramData\4e77eb66-3f15-1
2016-10-25 15:46 - 2016-10-25 15:46 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-51a7-0
2016-10-25 15:46 - 2016-10-25 15:46 - 00000000 ____D C:\ProgramData\4e77eb66-51a7-0
2016-10-24 15:46 - 2016-10-24 15:46 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-5b61-1
2016-10-24 15:46 - 2016-10-24 15:46 - 00000000 ____D C:\Users\Все пользователи\4e77eb66-5a13-0
2016-10-24 15:46 - 2016-10-24 15:46 - 00000000 ____D C:\ProgramData\4e77eb66-5b61-1
2016-10-24 15:46 - 2016-10-24 15:46 - 00000000 ____D C:\ProgramData\4e77eb66-5a13-0
2016-10-24 12:30 - 2016-11-26 14:33 - 00000000 ____D C:\Users\Все пользователи\{6bf877e1-712c-0}
2016-10-24 12:30 - 2016-11-26 14:33 - 00000000 ____D C:\Users\Все пользователи\{22ef195f-612c-0}
2016-10-24 12:30 - 2016-11-26 14:33 - 00000000 ____D C:\Users\Все пользователи\{0b080d53-712c-1}
2016-10-24 12:30 - 2016-11-26 14:33 - 00000000 ____D C:\ProgramData\{6bf877e1-712c-0}
2016-10-24 12:30 - 2016-11-26 14:33 - 00000000 ____D C:\ProgramData\{22ef195f-612c-0}
2016-10-24 12:30 - 2016-11-26 14:33 - 00000000 ____D C:\ProgramData\{0b080d53-712c-1}
2016-10-03 16:12 - 2016-10-03 16:12 - 00000000 ____D C:\Users\Владимир\AppData\Roaming\Obnovi Soft
2016-10-03 16:12 - 2016-10-03 16:12 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2016-10-03 11:54 - 2016-10-03 11:54 - 00028992 _____ C:\Users\Владимир\Downloads\1022456 (2).zip
2016-10-01 15:41 - 2016-10-24 12:30 - 00000000 ____D C:\Users\Все пользователи\{516b0373-012c-1}
2016-10-01 15:41 - 2016-10-24 12:30 - 00000000 ____D C:\Users\Все пользователи\{08ea6e21-312c-0}
2016-10-01 15:41 - 2016-10-24 12:30 - 00000000 ____D C:\ProgramData\{516b0373-012c-1}
2016-10-01 15:41 - 2016-10-24 12:30 - 00000000 ____D C:\ProgramData\{08ea6e21-312c-0}
2016-10-01 15:41 - 2016-10-09 11:23 - 00000000 ____D C:\Users\Все пользователи\{0D18F5DA-BAB3-4271-BE0C-1421005F93F2}
2016-10-01 15:41 - 2016-10-09 11:23 - 00000000 ____D C:\ProgramData\{0D18F5DA-BAB3-4271-BE0C-1421005F93F2}
2016-09-27 16:07 - 2016-10-15 22:00 - 00000000 ____D C:\Users\Владимир\AppData\Local\Hostinstaller
2016-09-27 16:07 - 2016-09-27 16:07 - 00000000 ____D C:\Users\Владимир\AppData\Local\FilterStart
C:\Users\Владимир\AppData\Local\Temp\2p4cirpg.dll
C:\Users\Владимир\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Владимир\AppData\Local\Temp\cdoiqhnp.dll
C:\Users\Владимир\AppData\Local\Temp\DicterSetup.exe
C:\Users\Владимир\AppData\Local\Temp\downloader.exe
C:\Users\Владимир\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
C:\Users\Владимир\AppData\Local\Temp\hcv_mailruhomesearch (2).exe
C:\Users\Владимир\AppData\Local\Temp\hcv_mailruhomesearch.exe
C:\Users\Владимир\AppData\Local\Temp\iz3xygu4.dll
C:\Users\Владимир\AppData\Local\Temp\p4s2tn1z.dll
C:\Users\Владимир\AppData\Local\Temp\{F40AAA40-F669-4363-81E8-8FAFC85D02F4}.exe
Task: {0A47987A-234C-4159-9C6C-86AB7F74A2A2} - \Microsoft\Windows\Application Experience\RenewalService -> No File <==== ATTENTION
Task: {114E5772-3675-466E-82DF-7CD5F6BBE3A9} - \Soft installer -> No File <==== ATTENTION
Task: {4C393486-8BA6-4099-9E26-BDFD84DCE53A} - \{5140E50A-E6EB-52A1-1868-7693B7F60B4C} -> No File <==== ATTENTION
Task: {4E313E78-8241-41C3-BB59-A009C38A34B3} - \{7892A827-07A8-9959-67EB-774E63325975} -> No File <==== ATTENTION
Task: {5F1D5C91-3F37-423A-B467-8550DCFB3655} - \{2AC16043-9D6A-D7E8-A4D8-7C478385A0B1} -> No File <==== ATTENTION
Task: {684B7F74-1831-47FC-A0FC-9EEF62B73F26} - \{0C4CCC8C-BBE7-7B27-08CD-83A28C11106E} -> No File <==== ATTENTION
Task: {B82C0C59-15B2-4CA4-A739-74117347CDEB} - \{75284D0E-C283-FAA5-D4BA-6F4A68251484} -> No File <==== ATTENTION
Task: {C8F23D54-1A8E-40DE-A9F4-AE832BD6B752} - \MAXDriverUpdaterRunAtStartup -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**JVL** · 04.12.2016, 18:22

Выполнил. В Вашем коде в предпоследней строке предпоследний символ какой то странный, арабский что ли. Это правильно? Блокнот на это ругнулся:
J:\2вирус\FRST\fixlist.txt
Этот файл содержит текст в формате Юникод, который будет потерян, если вы сохраните этот файл в формате ANSI. Чтобы сохранить данные в формате Юникод, нажмите кнопку "Отмена" и выберите один из вариантов сохранения в формате Юникод. Продолжить?
Я нажал Ок.

**thyrex** · 04.12.2016, 21:08

Проблема решена?

**JVL** · 04.12.2016, 22:18

Нет. Все так же, если начинается крутиться круговая стрелка прогресса на ярлыке страницы, значит браузер перескочит на любой другой сайт, закономерности ни какой нет. Единственное. что бросается в глаза, это то, что такая, готовящаяся к прыжку страница, не меняет стрелку курсора на руку. И если кликнуть мышкой на любом(даже пустом) месте, то браузер либо откроет новую страницу, либо откроет новое окно.

**thyrex** · 05.12.2016, 21:43

Сделайте лог полного сканирования МВАМ

**JVL** · 06.12.2016, 22:34

Установил MBAM, он не спросил ни про какую пробную версию, а предложил русский язык. Я ответил Ок, запустил MBAM и не знаю, что делать дальше т.к. по Вашей ссылке открывается сообщение в котором вместо скриншотов (кроме первого) стоят условные значки (не найдены), а по тексту они не совпадают. Вот первая страница: mbam1.jpg

- - - - -Добавлено - - - - -

Вот еще, может быть поможет. Сегодня слетел Skype и не восстанавливается, ошибку выдал и крутится, крутится… Попозже попробую восстановить еще раз. Появилось всплывающее окно, вот оно:
Безымянный.jpg

**thyrex** · 07.12.2016, 22:04

Кнопку Запустить проверку совсем не замечаете?

**JVL** · 07.12.2016, 23:44

Заметил, просто я подумал, что не туда попал.

**thyrex** · 09.12.2016, 19:51

Удалите в МВАМ все найденное

**JVL** · 09.12.2016, 23:03

Удалил все из МВАМ "История".

- - - - -Добавлено - - - - -

Запустил Chrom - все тоже самое. Полез в МВАМ (любопытство не порок). Нашел в "параметры"-"обнаружение и защита"-"проверка на наличие руткитов", поставил там галочку. Запустил МВАМ, сохранять лог не стал (все равно ничего непонимаю), а сразу все удалил. Закрыл МВАМ и запустил Chrom. MBAM ругнулся и перезагрузил комп. Грузился долго, минут 20, думал - всё, привет системе, нажал три клавиши и экран расцвел. Сразу в Chrom - все нормально! Сейчас пишу из своего (раньше не работающего) раздела и все нормально! Тьфу-тьфу-тьфу!!! Спасибо Вам большое!!! Больше ничего не надо делать?

**thyrex** · 10.12.2016, 11:03

Удалять найденные записи в МВАМ нужно было после окнчания повторного сканирования.

Если проблема решилась, удалите МВАМ и на этом закончим

**CyberHelper** · 10.12.2016, 11:13

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 10
В ходе лечения вредоносные программы в карантинах не обнаружены

Хаотичное открытие (переназначение) сайтов в браузерах. (заявка № 206255)

Опции темы