Браузер открывает страницы с рекламой [not-a-virus:RiskTool.Win32.HackKMS.g, Trojan-Downloader.Win32.Stantinko.bct ]

[CKM367]

При открытии нового окна браузер (Chrome) часто открывает страницы с рекламой. Лог находится по ссылке http://my-files.ru/1e3wox

[Info_bot]

Уважаемый(ая) CKM367, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('SessionLauncher');
 QuarantineFile('C:\Users\7A6C~1\AppData\Local\Temp\DX9\SessionLauncher.exe', '');
 QuarantineFile('C:\Users\Сам\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 DeleteFile('C:\Users\Сам\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mailruhomesearch');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

[CKM367]

[QUOTE regist;1435963]

Отключите
- Антивирус и Файрвол

[/QUOTE]

Спасибо за ответ. Не подскажете, как отключить Avast Internet Security?

[regist]

Не подскажете, как отключить Avast Internet Security?

также как и Avast! Antivirus.

[CKM367]

Большое спасибо.
Результат анализа карантина: http://virusinfo.info/virusdetector/...0007702A78714F
Отчёт ADWCleaner: http://my-files.ru/t94phh
На всякий случай, повторный CollectionLog: http://my-files.ru/cs8vx8

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('SessionLauncher');
 QuarantineFile('C:\Users\Сам\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 DeleteFile('C:\Users\Сам\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteService('SessionLauncher');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mailruhomesearch');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger.

[CKM367]

Спасибо.
Файл qarantine.zip загрузить не удалось, даже когда я изменил его имя: "Ошибка загрузки. Данный файл уже был загружен"
Ссылка на ADWCleaner report: http://my-files.ru/ao7y22
ссылка на результаты проверки карантина: http://virusinfo.info/virusdetector/...D6B1F1037010EF

Не совсем понял, что значит "Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите." Я перетащил лог на указанную ссылку, получил текст и скопировал его в Check_Browsers_LNK.log.txt в кодировке Unicode, ссылка http://my-files.ru/1bs5g7

[regist]

1) Грузите логи во вложения.
2)

что значит "Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите."

что написано то и означает - перетащить лог на иконку программы. После окончания работы будет создан новый лог его надо прикрепить. Где там написано что-то куда копировать и менять в каком-то из логов? Прикрепите то что вас просят.
3) Программы/расширения от Mail.ru используете?
4) SpyHunter - если установлен деинсталируйте.

[CKM367]

1) Во вложения логи не грузятся. Выбираю файл, нажимаю "Загрузить" - никакого эффекта.
2) Лог лежит по ссылке http://my-files.ru/y9p36a
3) Программы/расширения от Mail.ru не использую.
4) SpyHunter деинсталлировал.

[regist]

Во вложения логи не грузятся. Выбираю файл, нажимаю "Загрузить" - никакого эффекта.

Другим браузером пробовали? скачайте отсюда Оперу и проверьте проблему в ней.

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

[CKM367]

В Опере то же самое.
ADWCleaner report: http://my-files.ru/gyg3fv
ClearLNK: http://my-files.ru/v2isag

[regist]

1)

В Опере то же самое.

Прокси используете? Разбирайтесь, что у вас там блокирует или режет.
2) Внимательно прочийте, что я просил

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

3)

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

4) что с проблемой?

[CKM367]

1) Прокси не использую.
2) Внимательно прочитал, что Вы просите. Отчёт о какой работе прикрепить? Откуда его взять?

[regist]

Значит невнимательно читали. Там и название программы указано и ссылка на её скачивание. А если вы её не качали и не делали, что написано, то конечно и лога не будет.

[CKM367]

Я перечитал ещё раз. Вот что было написано:

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Я перетащил лог на утилиту. После этого нужно прикрепить отчёт о какой-то работе. О какой работе? Где его взять?

[CKM367]

1) Ну, так я и написал, что лог ClearLNK по ссылке http://my-files.ru/v2isag
2) Проблема осталась.

[regist]

Я перетащил лог на утилиту. После этого нужно прикрепить отчёт о какой-то работе. О какой работе? Где его взять?

Если вы действительно перетащили лог утилиты ClearLNK, то он у вас должен был после этого создаться в папке Log, а также ещё и открыться в блокноте.

что с проблемой?

не ответили.

- - - - -Добавлено - - - - -

1)

лог ClearLNK

вы хоть на название лога посмотрите, там же ясно в название написано Check_Browsers_LNK.log - то есть это совсем другой лог, но ладно пропустим уже это.

2) Опишите подробней.

[CKM367]

Иногда (не всегда, но довольно часто), когда открываю новую страницу, в браузере открывается новая страница с рекламой. Происходит это так: открывается новая страница с копией текущей страницы, а потом слева от неё текущая страница заменяется на страницу с рекламой. Кроме того на сайтах с какими-нибудь ссылками рядом со ссылкой появляется зелёная стрелка, и если перейти по этой ссылке, попадаешь на рекламу - как правило, казино Вулкан. Вот, например, скан такой страницы: http://my-files.ru/uivqbd

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.