самопроизвольное открытие рекламы в окнах [not-a-virus:NetTool.Win32.NetFilter.h, not-a-virus:RiskTool.Win32.NetFilter.as ]

Добры день!

Беспокоит самопризвольное открытие вкладок с рекламой и не удаляется поисковая система getserch - пишет что установлено администратором.

Уважаемый(ая) [B]Никита Старцев[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,


AVZ [URL="http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804"]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
StopService('cd');
StopService('condef');
DeleteService('cd');
DeleteService('condef');
TerminateProcessByName('C:\Program Files\Content Defender\cd.exe');
QuarantineFile('C:\Program Files\Content Defender\cd.exe','');
QuarantineFile('C:\Program Files\content defender\condefclean.exe','');
QuarantineFile('C:\Program Files\content defender\condefsetup.exe','');
QuarantineFile('C:\Program Files\content defender\contentdefenderps.dll','');
QuarantineFile('C:\Program Files\content defender\import_root_cert.exe','');
QuarantineFile('C:\Program Files\content defender\libeay32.dll','');
QuarantineFile('C:\Program Files\content defender\nfregdrv.exe','');
QuarantineFile('C:\Program Files\content defender\nss\certutil.exe','');
QuarantineFile('C:\Program Files\content defender\nss\mozcrt19.dll','');
QuarantineFile('C:\Program Files\content defender\nss\nspr4.dll','');
QuarantineFile('C:\Program Files\content defender\nss\nss3.dll','');
QuarantineFile('C:\Program Files\content defender\nss\plc4.dll','');
QuarantineFile('C:\Program Files\content defender\nss\plds4.dll','');
QuarantineFile('C:\Program Files\content defender\nss\smime3.dll','');
QuarantineFile('C:\Program Files\content defender\nss\softokn3.dll','');
QuarantineFile('C:\Program Files\content defender\ssleay32.dll','');
QuarantineFile('c:\users\mila\appdata\roaming\daemon2.exe','');
QuarantineFile('C:\Windows\system32\drivers\condef.sys','');
QuarantineFile('C:\Windows\system32\searchprotectservice.exe','');
QuarantineFile('C:\Windows\syswow64\searchprotectservice.exe','');
QuarantineFile('C:\Windows\TEMP\E_SA1A3.tmp','');
DeleteFile('C:\Program Files\Content Defender\cd.exe','32');
DeleteFile('C:\Program Files\content defender\condefclean.exe','32');
DeleteFile('C:\Program Files\content defender\condefsetup.exe','32');
DeleteFile('C:\Program Files\content defender\contentdefenderps.dll','32');
DeleteFile('C:\Program Files\content defender\import_root_cert.exe','32');
DeleteFile('C:\Program Files\content defender\libeay32.dll','32');
DeleteFile('C:\Program Files\content defender\nfregdrv.exe','32');
DeleteFile('C:\Program Files\content defender\nss\certutil.exe','32');
DeleteFile('C:\Program Files\content defender\nss\mozcrt19.dll','32');
DeleteFile('C:\Program Files\content defender\nss\nspr4.dll','32');
DeleteFile('C:\Program Files\content defender\nss\nss3.dll','32');
DeleteFile('C:\Program Files\content defender\nss\plc4.dll','32');
DeleteFile('C:\Program Files\content defender\nss\plds4.dll','32');
DeleteFile('C:\Program Files\content defender\nss\smime3.dll','32');
DeleteFile('C:\Program Files\content defender\nss\softokn3.dll','32');
DeleteFile('C:\Program Files\content defender\ssleay32.dll','32');
DeleteFile('c:\users\mila\appdata\roaming\daemon2.exe','32');
DeleteFile('C:\Windows\system32\drivers\condef.sys','32');
DeleteFile('C:\Windows\system32\searchprotectservice.exe','32');
DeleteFile('C:\Windows\syswow64\searchprotectservice.exe','32');
DeleteFileMask('C:\Program Files\content defender', '*', true, ' ');
DeleteDirectory('C:\Program Files\content defender');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR=#FF0000]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.


- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

- Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/URL] и приложите его в теме.

Выполнил!

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Удалил все, что бы не было сомнений)))

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Сделал.

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-1278612014-3644534387-551713525-1001] ATTENTION => Default URLSearchHook is missing
URLSearchHook: HKU\S-1-5-21-1278612014-3644534387-551713525-1001 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.29.1\npGoogleUpdate3.dll => No File
CHR Extension: (blacount) - C:\Users\Mila\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ecljapgcebeghdgfjacldomhcnlemkmk [2016-01-26]
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
OPR StartupUrls: "hxxp://aztiwin.ru/?utm_content=094ef9ef1c8635e95fad13f3d1d3bbe0&utm_source=startpm&utm_term=C16FA435EFA4F421DF4FBBB11E01C302"
OPR Extension: (blacount) - C:\Users\Mila\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecljapgcebeghdgfjacldomhcnlemkmk [2016-01-26]
2016-01-07 12:17 - 2016-01-07 12:17 - 0000261 _____ () C:\ProgramData\fontcacheev1.dat
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

программа зависла, но не могу сказать была перезагрузка или нет, т.к. отходил в этот момент. Возможно система перезагрузилась и после этого программа запустилась и зависла? В общем лог создан прилагаю.
После ручной перезагрузки загружается черный экран и курсор мыши, перезагружался несколько раз одно и тоже, диспетчер задач запускается.

Не совсем понятно, у Вас возникли проблемы с ПК?
В указанном фиксе, указанны, только удаление мусора, так таковых изменений в системе не должно быть.
Также уточнить фикс применяли один раз или несколько, более одного раза фикс применять не рекомендуется.

P.S.Также согласно отчету "Restore point was successfully created.", т.е. возможно откатиться то предыдущего состояния.

Да, т.е. у меня сейчас при входе в систему черный экран и курсор мыши, при этом сменить пользователя можно, но он у меня один, и под другим зайти не могу. Применял фикс один раз, я бы откатился но как?

1) Уточните пожалуйста, если через "Диспечер задач" -> "Файл" -> "Запустить новую задачу" запустить "explorer.exe", запускается панель задач?
2) В безопасном режиме такая же ситуация?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

- Вам следует также проверить систему на повреждение системных файлов, набрав следующую команду в командной строке(cmd.exe) в привелигированном режиме (Run as Administrator) :
[CODE]sfc /scannow[/CODE]

- Также уточните перед применением фикса устанавливали какое-то ПО?

- Подробнее о восстановление можете ознакомиться в статье "[URL="http://windows.microsoft.com/ru-ru/windows/system-restore-faq"]Восстановление системы[/URL]"

Хорошо, попробую сделать, то что вы написали.
Нет я ничего не устанавливал, кроме тех программ которые применял из этой темы.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Откатился через точку восстановления, созданную FRST64 и смог зайти в систему.
В безопасном режиме тоже не запускалась explorer.exe
Проверил компьютер на целостность системы, лог прилагаю пришлось поместить в архив.

Согласно Вашему логу, проблема в следующем:

[QUOTE]2016-02-03 19:51:49, Info CSI 000005bd [SR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch
2016-02-03 19:51:54, Info CSI 000005bf [SR] [B]Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB"[/B] of prncacla.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch
2016-02-03 19:51:54, Info CSI 000005c0 [SR] This component was referenced by [l:166{83}]"[B]Package_2709_for_KB3000850~31bf3856ad364e35~amd64~~6.3.1.8.3000850-6825_neutral_GDR[/B]"
2016-02-03 19:58:47, Info CSI 00000935 [SR] Repairing 1 components
2016-02-03 19:58:47, Info CSI 00000938 [SR] [B]Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" [/B]of prncacla.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch
2016-02-03 19:58:48, Info CSI 0000093a [SR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch
2016-02-03 19:58:48, Info CSI 0000093b [SR] This component was referenced by [l:166{83}]"Package_2709_for_KB3000850~31bf3856ad364e35~amd64~~6.3.1.8.3000850-6825_neutral_GDR"
2016-02-03 19:58:48, Info CSI 0000093c [SR] Repair complete
2016-02-03 19:58:48, Info CSI 0000093d [SR] Committing transaction
[/QUOTE]

Возможно проблема вызвана обновлением KB3000850.

Покажите результат следующей команды в командной строке (cmd.exe):

[CODE]dism /online /cleanup-image /scanhealth[/CODE]

Сделал

Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Windows\system32>dism /online /cleanup-image /scanhealth

Cистема DISM
Версия: 6.3.9600.17031

Версия образа: 6.3.9600.17031

В общем предыстория как оказалась такова - супруге понадобился Word, но т.к. я не давно поставил винду, не успел поставить офис. Она сама нашла просто загуглив его в инете и поставила какой то чудо Word 2013, при этом это оказалась всякая лабуда но только не офис, и всякая хрень полезла после него. Я его удалил почистил комп, но ничего не помогло и поэтому обратился на данный сайт. Сейчас же офиса нет, я его ставлю его и теперь у меня при открытии файлов офис ругается на проблему с проверкой лицензии и закрывает приложение. Но! Если сначала открыть ворд или эксель и из него открыть файл, тогда он запустится! Вот так вот.
Почитав в инете узнал что такое как раз бывает когда устанавливается различные приложения которые предлагается установить вместе с программой, типа спутника mail, amigo и пр.

В общем вопрос в следующем:
"Может ну его н...х! И проще грохнуть всю систему и с нуля поставить 8)"

[QUOTE=Никита Старцев;1355643]Сделал

Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Windows\system32>dism /online /cleanup-image /scanhealth

Cистема DISM
Версия: 6.3.9600.17031

Версия образа: 6.3.9600.17031[/QUOTE]
Вам следовало дождаться до конца, несколько минут.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=Никита Старцев;1355735]
"Может ну его н...х! И проще грохнуть всю систему и с нуля поставить 8)"[/QUOTE]

Ну это Вам решашь, а так надо смотреть ассоциации расширений, которые Вы открываете.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\content defender\cd.exe - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\condefclean.exe - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\condefsetup.exe - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\contentdefenderps.dll - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\import_root_cert.exe - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\libeay32.dll - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\nfregdrv.exe - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\nss\certutil.exe - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\nss\mozcrt19.dll - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\nss\nspr4.dll - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\nss\nss3.dll - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\nss\plc4.dll - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\nss\plds4.dll - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\nss\smime3.dll - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\nss\softokn3.dll - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\program files\content defender\ssleay32.dll - [B]not-a-virus:NetTool.Win32.NetFilter.h[/B] ( DrWEB: Trojan.Zadved.306 )[*] c:\users\mila\appdata\roaming\daemon2.exe - [B]not-a-virus:WebToolbar.Win32.Neobar.i[/B][*] c:\windows\system32\drivers\condef.sys - [B]not-a-virus:RiskTool.Win32.NetFilter.as[/B] ( DrWEB: Trojan.Zadved.306 )[/LIST][/LIST]