При работе с браузером открываются дополнительные вкладки [Trojan-Banker.Win32.Capper.n ]

Здравствуйте!

При работе с браузерами на всех сайтах при любом клике стали открываться новые вкладки. Вроде бы это всегда сайт tvigle.ru
Пользуемся IE, хромом и оперой.
ПК проверили Dr.Web и AVPTool, проблема осталась.

Пожалуйста, помогите :)

Уважаемый(ая) [B]off-top[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
ClearHostsFile;
end.
[/CODE]

Выполните скрипт в AVZ отсюда:
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Файл avz_log.txt из папки AVZ\LOG приложите в теме.

Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в [url]http://dataforce.ru/~kad/ScanVuln.txt[/url] и убедитесь, что обновления установились.

Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.

Сделано.

AVZ запускали от имени администратора, как по ссылке в скобках?
Если нет, попробуйте еще раз этот же скрипт от имени администратора и сделайте повторный лог.

Вроде да.. но на всякий случай сделали еще раз.
А, и обратили внимание, что не только на тот сайт ведут рекламные ссылки, который указали в первом топике, на другие тоже. Не знаю, важно ли это..

HijackThis запустите от имени администратора.
Пофиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
O1 - Hosts: 217.73.57.92 userapi.com
O1 - Hosts: 217.73.57.92 st0.userapi.com
O1 - Hosts: 217.73.57.92 st1.userapi.com
O1 - Hosts: 217.73.57.92 st2.userapi.com
O1 - Hosts: 217.73.57.92 st3.userapi.com
O1 - Hosts: 217.73.57.92 st4.userapi.com
O1 - Hosts: 217.73.57.92 st5.userapi.com
O1 - Hosts: 217.73.57.92 st6.userapi.com
O1 - Hosts: 217.73.57.92 st7.userapi.com
O1 - Hosts: 217.73.57.92 st8.userapi.com
O1 - Hosts: 217.73.57.92 st9.userapi.com
O1 - Hosts: 217.73.57.92 stg.odnoklassniki.ru
O1 - Hosts: 217.73.57.92 img0.imgsmail.ru
O1 - Hosts: 217.73.57.92 img1.imgsmail.ru
O1 - Hosts: 217.73.57.92 img2.imgsmail.ru
O1 - Hosts: 217.73.57.92 img3.imgsmail.ru
O1 - Hosts: 217.73.57.92 img4.imgsmail.ru
O1 - Hosts: 217.73.57.92 img5.imgsmail.ru
O1 - Hosts: 217.73.57.92 img6.imgsmail.ru
O1 - Hosts: 217.73.57.92 img7.imgsmail.ru
O1 - Hosts: 217.73.57.92 img8.imgsmail.ru
O1 - Hosts: 217.73.57.92 img9.imgsmail.ru

[/CODE]

Перезагрузите компьютер.

Сделайте заново лог HijackThis (пункт 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.

При подключенном интернете выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
ClearQuarantine;
ExecuteAVUpdate;
ExecuteStdScr(4);
end.
[/CODE]

Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке:
[url]http://virusinfo.info/upload_clean.php[/url]
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.

Сделайте лог MiniToolBox:
[url]http://virusinfo.info/showthread.php?t=122524&p=902877#post902877[/url]
и приложите в теме.


Эти настройки DNS ваши?
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{150619CF-0AD1-450D-AD89-9FC0C8F2219C}: NameServer = 85.21.192.5 213.234.192.7[/CODE]

Результат загрузки
Файл сохранён как 120909_195730_virusinfo_files_ADMIN-HP_504cf4aa7303f.zip
Размер файла 9476566
MD5 420f3e398d69241799bb01923a326982



Настройки DNS наши, да.

C:\Program Files (x86)\Incredibar.com устанавливали? Если нет то удалите через установку/удаление программ.


- [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

Incredibar удалили, комп просканировли.

Программа Вам известна? C:\Program Files (x86)\Premiumplay Codec-C

Нет, вроде эту программу не знаю.

[quote="off-top;924040"]Нет, вроде эту программу не знаю.[/quote]
Удалите через установку/удаление программ.


- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
QuarantineFile('C:\Users\admin\0.12562956292990102.exe','');
DeleteFile('C:\Users\admin\0.12562956292990102.exe');
QuarantineFile('C:\Users\admin\AppData\Roaming\oemfpc.dat','');
DeleteFile('C:\Users\admin\AppData\Roaming\oemfpc.dat');
DeleteFileMask('C:\Program Files (x86)\Premiumplay Codec-C','*',true);
DeleteDirectory('C:\Program Files (x86)\Premiumplay Codec-C');
RegKeyDel('HKEY_CLASSES_ROOT','CLSID\{11111111-1111-1111-1111-110011041135}');
RegKeyDel('HKEY_CLASSES_ROOT','TypeLib\{44444444-4444-4444-4444-440044044435}');
RegKeyDel('HKEY_CLASSES_ROOT','Interface\{55555555-5555-5555-5555-550055045535}');
RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.BHO.1');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011041135}');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011041135}');
RegKeyDel('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011041135}');
RegKeyDel('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011041135}');
RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.BHO');
RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.FBApi');
RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.FBApi.1');
RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.Sandbox');
RegKeyDel('HKEY_CLASSES_ROOT','CCrossriderApp0000435.Sandbox.1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи АВЗ.

- [URL="http://virusinfo.info/showthread.php?t=115256"]Сделайте лог RSIT[/URL].

Результат загрузки
Файл сохранён как 120910_135820_quarantine_504df1fc3ef67.zip
Размер файла 25893
MD5 de469d15cc8bed83e7efc55c8102d0a6

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]O1 - Hosts: 217.73.57.92 userapi.com
O1 - Hosts: 217.73.57.92 st0.userapi.com
O1 - Hosts: 217.73.57.92 st1.userapi.com
O1 - Hosts: 217.73.57.92 st2.userapi.com
O1 - Hosts: 217.73.57.92 st3.userapi.com
O1 - Hosts: 217.73.57.92 st4.userapi.com
O1 - Hosts: 217.73.57.92 st5.userapi.com
O1 - Hosts: 217.73.57.92 st6.userapi.com
O1 - Hosts: 217.73.57.92 st7.userapi.com
O1 - Hosts: 217.73.57.92 st8.userapi.com
O1 - Hosts: 217.73.57.92 st9.userapi.com
O1 - Hosts: 217.73.57.92 stg.odnoklassniki.ru
O1 - Hosts: 217.73.57.92 img0.imgsmail.ru
O1 - Hosts: 217.73.57.92 img1.imgsmail.ru
O1 - Hosts: 217.73.57.92 img2.imgsmail.ru
O1 - Hosts: 217.73.57.92 img3.imgsmail.ru
O1 - Hosts: 217.73.57.92 img4.imgsmail.ru
O1 - Hosts: 217.73.57.92 img5.imgsmail.ru
O1 - Hosts: 217.73.57.92 img6.imgsmail.ru
O1 - Hosts: 217.73.57.92 img7.imgsmail.ru
O1 - Hosts: 217.73.57.92 img8.imgsmail.ru
O1 - Hosts: 217.73.57.92 img9.imgsmail.ru[/CODE]

Повторите hijackthis.

Готово.

Да чтож такое)

Откройте файл [B]c:\windows\system32\drivers\etc\hosts[/B] в блокноте от имени администратора.
Удалите из него строки:
[CODE]217.73.57.92 userapi.com
217.73.57.92 st0.userapi.com
217.73.57.92 st1.userapi.com
217.73.57.92 st2.userapi.com
217.73.57.92 st3.userapi.com
217.73.57.92 st4.userapi.com
217.73.57.92 st5.userapi.com
217.73.57.92 st6.userapi.com
217.73.57.92 st7.userapi.com
217.73.57.92 st8.userapi.com
217.73.57.92 st9.userapi.com
217.73.57.92 stg.odnoklassniki.ru
217.73.57.92 img0.imgsmail.ru
217.73.57.92 img1.imgsmail.ru
217.73.57.92 img2.imgsmail.ru
217.73.57.92 img3.imgsmail.ru
217.73.57.92 img4.imgsmail.ru
217.73.57.92 img5.imgsmail.ru
217.73.57.92 img6.imgsmail.ru
217.73.57.92 img7.imgsmail.ru
217.73.57.92 img8.imgsmail.ru
217.73.57.92 img9.imgsmail.ru[/CODE]
Сохраните изменения, перезагрузитесь и посмотрите не появились ли эти строки снова.

Упс.. Никак не сохранить изменения..:O

Пуск - Блокнот - открыть от имени администратора - hosts. Удаляю строки, но файл не сохраняется. т.е. предлагает сохранить отдельным txt-файлом.
То же самое - в безопасном режиме, то же самое с отключенным антивирусом, и поменять в свойствах файла настройки безопасности тоже не получилось :(

А удалить или переименовать файл дает?

Нет, не дает (( ни удалить, ни переименовать, ни перенести куда-нибудь((