Вирус dota2game.org

Через какое то время после старта системы, открытия браузера или каких либо иных действий(Разное время реакции на включение пк и запуск браузера) открывается новая вкладка в хроме(браузер по умолчанию) с dota2game.org + на различных сайтах появилась новая реклама(пример на [url]http://adultmult.tv/html/ghost_in_the_shell_start.html[/url]), которой ранее не было. Просит выключить AdBlock и запускает "наложенные области" с видео, которые честно(под вопросом, честно ли) можно закрыть, после просмотра роликов. Дополнительно увеличилась потребляемая оперативная память(не сильно, но метров 500 точно кушает что то). Периодически отваливается интернет(линк его и роутера есть, пинг до сервера гугла идёт идеально, а в браузере все почти "умерло"). Стоит KAV 2016, единственное, на что он ругается после полного сканирования, так это на AmmyAdmin(средство удалённого администрирования, которое он так и помечает и отмечает, что оно потенциально опасное, а не вирус или заражённый объект, а вот кряки и прочее, что день назад воспринимал как вирусню MSE, он не видит, даже после обновления базы и полного открытия доступа, и форсирования папки, где это всё находится).
С благодарностью прикладываю логи сканов.
В вашем "хелпе" написано, если 64 битная система, то не надо выполнять п1, соответственно и не будет одного файла во вложении. Прошу за это не банить, как назойливого ;)

Уважаемый(ая) [B]Lignty[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Lignty\AppData\Roaming\cppredistx86.exe','');
DeleteFile('C:\Users\Lignty\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010','command');
DeleteFile('C:\Windows\system32\Tasks\MS','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]

Пытаюсь прислать карантин, но пишет "Результат загрузки

Ошибка загрузки. Данный файл уже был загружен". Для справки, файл карантина был пустой.

Ждем новые логи

При проверкой AVZ пк, появляются ошибки, но проверка заканчивается, нормально ли это?
[SPOILER]Протокол антивирусной утилиты AVZ версии 4.45
Сканирование запущено в 07.12.2015 15:30:49
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 05.12.2015 04:00
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 769450
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Professional", дата инсталляции 01.10.2014 20:14:22 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:ChangeDisplaySettingsExW (1539) перехвачена, метод APICodeHijack.JmpTo[6F092956]
Функция user32.dll:CreateWindowExW (1619) перехвачена, метод APICodeHijack.JmpTo[6F092B16]
Функция user32.dll:DisplayConfigGetDeviceInfo (1685) перехвачена, метод APICodeHijack.JmpTo[6F0933D6]
Функция user32.dll:EnumDisplayDevicesA (1737) перехвачена, метод APICodeHijack.JmpTo[6F0933F6]
Функция user32.dll:EnumDisplayDevicesW (1738) перехвачена, метод APICodeHijack.JmpTo[6F093466]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C000036B]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 41
Анализатор - изучается процесс 1768 C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
[ES]:Приложение не имеет видимых окон
Количество загруженных модулей: 253
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\SysWOW64\nvinit.dll"
>>> D:\Program Files\Bluetooth Suite\BtvStack.exe ЭПС: подозрение на Проверка ключа Policies\Run (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 294, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.12.2015 15:31:25
Сканирование длилось 00:00:37
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум [url]http://forum.kaspersky.com/index.php?showforum=18[/url]
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис [url]http://virusdetector.ru/[/url]
Выполняется исследование системы
Диагностика сети
DNS and Ping test
Host="yandex.ru", IP="5.255.255.55,77.88.55.55,77.88.55.66,5.255.255.5", Ping=OK (0,19,5.255.255.55)
Host="google.ru", IP="212.188.10.230,212.188.10.234,212.188.10.238,212.188.10.240,212.188.10.241,212.188.10.245,212.188.10.249,212.188.10.251,212.188.10.208,212.188.10.212,212.188.10.216,212.188.10.218,212.188.10.219,212.188.10.223,212.188.10.227,212.188.10.229", Ping=OK (0,4,212.188.10.230)
Host="google.com", IP="212.188.10.212,212.188.10.216,212.188.10.218,212.188.10.219,212.188.10.223,212.188.10.227,212.188.10.229,212.188.10.230,212.188.10.234,212.188.10.238,212.188.10.240,212.188.10.241,212.188.10.245,212.188.10.249,212.188.10.251,212.188.10.208", Ping=OK (0,2,212.188.10.212)
Host="www.kaspersky.com", IP="93.159.228.16", Ping=OK (0,13,93.159.228.16)
Host="www.kaspersky.ru", IP="93.159.228.17", Ping=OK (0,15,93.159.228.17)
Host="dnl-03.geo.kaspersky.com", IP="77.74.183.10", Ping=OK (0,16,77.74.183.10)
Host="dnl-11.geo.kaspersky.com", IP="77.74.183.10", Ping=OK (0,10,77.74.183.10)
Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,13,212.5.89.37)
Host="odnoklassniki.ru", IP="217.20.147.94,217.20.155.58,217.20.156.159", Ping=OK (0,9,217.20.147.94)
Host="vk.com", IP="87.240.131.119,87.240.131.120,87.240.131.97", Ping=OK (0,2,87.240.131.119)
Host="vkontakte.ru", IP="95.213.4.241,95.213.4.242,95.213.4.248", Ping=OK (0,2,95.213.4.241)
Host="twitter.com", IP="199.16.156.6,199.16.156.70,199.16.156.102,199.16.156.230", Ping=OK (0,148,199.16.156.6)
Host="facebook.com", IP="173.252.90.36", Ping=OK (0,157,173.252.90.36)
Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=OK (0,15,31.13.72.8)
Network IE settings
IE setting AutoConfigURL=
IE setting AutoConfigProxy=wininet.dll
IE setting ProxyOverride=*.local
IE setting ProxyServer=
IE setting Internet\ManualProxies=
Network TCP/IP settings
Interface: "VirtualBox Host-Only Network"
IPAddress = "192.168.56.1"
SubnetMask = "255.255.255.0"
DefaultGateway = ""
NameServer = ""
Domain = ""
DhcpServer = "255.255.255.255"
Network Persistent Routes
Исследование системы завершено
[/SPOILER]

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.

Проверил и скидываю файлы.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2015-08-27 11:55 - 2015-08-27 11:55 - 0371216 _____ () C:\Users\Lignty\AppData\Roaming\data13.dat
Task: {2CF6A253-5454-4D22-A9DF-BD5D28A9BD5C} - \MS -> No File <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Прикладываю файл.

Приложил.

Проблема решена?

Нет.

Отключите все установленные расширения для браузеров и проверьте проблему

Спасибо! Помогло!

Теперь по одному включайте и найдете проблемное.
Сообщите нам его имя, а само расширение удалите