Браузер периодически открывает рекламные вкладки.

Браузер (любой запущенный в данный момент), периодически открывает рекламные вкладки.
Чаще всего это: orion.zerohorizon.net, oziris.zerohorizon.net, [удалено], и особо часто ptp24.com/promote.php?id=fb9a9b909e237b49be76aaa30d95d33a
Если ни 1 браузер не открыт, то открывается установленный по-умолчанию.
Заметил что гадость во вкладках открывается через процесс rundll32.exe
Ярлыки к браузерам прямые, без дополнительных св-в. (Хотя по-идее и не в них дело).
Process Explorer с включенной проверкой virustotal ничего не нашел.
Пробежал весь реестр на тему "start http" и "rundll32 url.dll", тоже ничего не нашел.
В планировщике заданий тоже не нашел.

Помогите, пожалуйста изловить заразу. Три месяца с ней борюсь, и уже не знаю куда копать.
Логи прилагаю.


P.S Hosts так отредактирован мной. Просто чтобы злоумышленник получил меньше реферальных.
P.P.S Встретить бы этого Luebeck557....... ;)

Уважаемый(ая) [B]Exorc[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

[b]thyrex[/b], спасибо за внимание к просьбе.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
OPR Extension: (AS Magic Player) - C:\Users\Михаил\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2015-05-29]
CustomCLSID: HKU\S-1-5-21-2766016837-80490527-506986372-1000_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-2766016837-80490527-506986372-1000_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-2766016837-80490527-506986372-1000_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
AlternateDataStreams: C:\Users\Михаил\Local Settings:wa
AlternateDataStreams: C:\Users\Михаил\AppData\Local:wa
AlternateDataStreams: C:\Users\Михаил\AppData\Local\Application Data:wa
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]



Если проблема останется, отключите все установленные расширения для браузеров и проверьте проблему

Попробовал, но проблема осталась актуальной =(

Отключите все установленные расширения для браузеров

Отключил все, во всех 4-х браузерах.(IE, Opera, Firefox, Chrome), еще после вашего прошлого сообщения. Проблема к сожалению сохранилась.

Интернет через роутер?

Да.

Сделайте аппаратный сброс настроек роутера, введите правильные настройки.
Смените пароль к настройкам роутера на более сложный.
Очистите куки и кэш браузеров, перезагрузите компьютер.

Проверьте проблему

Сделано, проблема сохранилась(

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Сделал. Так же то что он нашел я убрал (кроме тех файлов которые я создавал лично в visual studio)

Изменения есть?

Увы нет.

Сделайте [URL="http://virusinfo.info/showthread.php?t=146192"]лог AdwCleaner[/URL]

Он ничего не нашел. Отчет прилагаю.

P.S Может вы можете посоветовать какой-нибудь аналог диспетчера задач или process explorer который бы показывал, процессы не в реальном времени а сохранял момент запуска процесса. Потому что я успеваю увидеть что что-то запускается, но он тут же закрывается и через мгновение открывается рекламная вкладка.

В общем, победил я гада. Если вдруг кому любопытно (или кто из поисковых систем, с такой же проблемой). То вирусом оказался файл wermgr.exe находящийся по адресу C:\ProgramData\Microsoft\Windows\WER. Он маскируется под программу Windows Problem Reporting и полный правильный её адрес C:\Windows\System32\wermgr.exe. !!!Учтите папка C:\ProgramData\Microsoft\Windows\WER является рабочей папкой для настоящей программы wermgr и в ней ничего менять не стоит!!!
Что собственно делал вирус, он стучался по адресу "stats.ayeaye.arvixe.com" откуда скачивал зашифрованный файл manhattan.enc, и на его основании создавал файлик c расширением ini (в котором были те самые рекламные ссылки). Все это происходило в папке C:\Users\Имя_Пользователя\AppData\Local\Temp. После этого исполнял команду "rundll32 url.dll,FileProtocolHandler http:*рекламная_ссылка*
Резюмирую кратко: если у вас на компьютере по адресу C:\ProgramData\Microsoft\Windows\WER есть программа wermgr.exe то просто удалите ее. Остальное не трогать!