Автоматически открываются различные сайты [not-a-virus:RiskTool.Win32.HideExec.ai ]

Здравствуйте.
При включении компьютера, а также при переходе на новые сайты, открываются в новой вкладке различные сайты знакомств и т.д. Антивирус ничего найти не может. Логи прикрепил. Очень надеюсь на вашу помощь. Заранее благодарен.

Уважаемый(ая) [B]Feliks757[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\user\appdata\roaming\closer.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFileF('c:\drivers', '*', true, ' ', 0, 0);
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Users\user\appdata\roaming\closer.exe','32');
DeleteFileMask('C:\Program Files\Zaxar', '*', true, ' ');
DeleteFileMask('C:\Users\user\AppData\Local\Schedule', '*', true, ' ');
DeleteFileMask('c:\drivers', '*', true, ' ');
DeleteDirectory('C:\Users\user\AppData\Local\Schedule');
DeleteDirectory('c:\drivers');
DeleteDirectory('C:\Program Files\Zaxar');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yambler.net/?iq
O4 - HKCU\..\Run: [cohost] c:\drivers\hstart.exe /NOCONSOLE /D="c:\drivers\" "c:\drivers\oshost.exe"
O4 - Startup: Schedule Games Browser.lnk = C:\Users\user\AppData\Local\Schedule\Schedule.exe
O4 - Startup: Zaxar Games Browser.lnk = C:\Program Files\Zaxar\ZaxarLoader.exe


[/CODE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserlnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы на рабочем столе будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

Всё выполнил

Базы в MBAM обновите. Потом сделайте новый лог.

Возникла проблема. Как только я пытаюсь в обновленной версии сохранить лог в .txt, у меня сразу прекращается работа программы. Пробовал несколько раз. Защитное ПО отключаю,запускаю от администратора. Пробовал переустанавливать программу. Ничего не помогает. В итоге у меня остаются логи только в .xml

Деинсталлируйте MBAM 2.0 она очень глючная. По ссылке из 3 сообщения скачайте MBAM 1.75 установите, запустите. Во время обновления баз откажитесь от загрузки и установки новой версии MBAM. Дальше все делайте по инструкции из 3 сообщения.

Спасибо. Разобрался теперь.

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).

[CODE]
Обнаруженные ключи в реестре: 13
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{377E5D4D-77E5-476A-8716-7E70A9272DA0} (PUP.Optional.SearchResults.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{377E5D4D-77E5-476A-8716-7E70A9272DA0} (PUP.Optional.SearchResults.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{377E5D4D-77E5-476A-8716-7E70A9272DA0} (PUP.Optional.SearchResults.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014} (PUP.Optional.Datamngr.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014} (PUP.Optional.Datamngr.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCR\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} (PUP.Optional.Conduit) -> Действие не было предпринято.
HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr.A) -> Действие не было предпринято.
HKCU\Software\Datamngr (PUP.Optional.DataMngr.A) -> Действие не было предпринято.
HKCU\Software\AppDataLow\Software\PriceGong (PUP.Optional.PriceGong.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} (PUP.Optional.FrostwireTB.A) -> Параметры: -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (PUP.Optional.FrostwireTB.A) -> Параметры: |ФJf@Ў*BCШt@ -> Действие не было предпринято.

Обнаруженные папки: 7
C:\Users\user\AppData\Roaming\smwdgt (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Program Files\webHancer\Programs (PUP.Optional.WebHancer) -> Действие не было предпринято.
C:\Program Files (x86)\Solvers\istak (Trojan.Agent) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\DataMngr (PUP.Optional.Datamngr.A) -> Действие не было предпринято.

Обнаруженные файлы: 61
C:\Program Files (x86)\Conduit\Community Alerts\Alert0.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\ProgramData\Mozilla\xkknnxe.exejazmeca.tmp (Malware.Packer.95) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\smwdgt\manifest.json (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\smwdgt\AXYpAzCyLAhSv.js (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\smwdgt\icon128.png (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\smwdgt\icon16.png (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\smwdgt\icon48.png (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\smwdgt\wOfBvMOWwHIFc.html (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\smwdgt\WQzDpIfqwyIf.js (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\smwdgt\zBZkAkFmuDct.js (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar\Удалить Webalta Toolbar.lnk (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Program Files\webHancer\Programs\license.txt (PUP.Optional.WebHancer) -> Действие не было предпринято.
C:\Program Files\webHancer\Programs\readme.txt (PUP.Optional.WebHancer) -> Действие не было предпринято.
C:\Program Files\webHancer\Programs\sporder.dll (PUP.Optional.WebHancer) -> Действие не было предпринято.
C:\Program Files (x86)\Solvers\istak\1111111111111111111111111111111111111d.txt (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\Solvers\istak\bolvanko.vbs (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\Solvers\istak\potroh_su.txt (Trojan.Agent) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\1.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\a.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\b.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\c.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\d.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\e.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\f.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\g.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\h.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\i.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\j.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\k.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\l.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\m.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\n.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\o.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\p.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\q.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\r.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\s.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\t.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\u.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\v.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\w.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\wlu.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\x.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\y.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\PriceGong\Data\z.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
C:\Users\user\AppData\LocalLow\DataMngr\{7CA1F051-A4FB-4143-B263-02B41E571EED} (PUP.Optional.Datamngr.A) -> Действие не было предпринято.
[/CODE]

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. Можно быстрое сканирование сделать.

Все выполнил. Спасибо огромное! Лог прикреплять не стал, так как угроз не было найдено.

Ну так все я не просил удалять. Ладно.

[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\drivers\addd.zip - [B]not-a-virus:RiskTool.Win32.HideExec.ai[/B] ( BitDefender: Application.Bitcoinminer.BI )[*] c:\drivers\hstart.exe - [B]not-a-virus:RiskTool.Win32.HideExec.ai[/B][/LIST][/LIST]