Редирект на странные адреса.

**Alex_redd** · 12.06.2017, 15:47

Во время серфинга иногда происходит переход на странные адреса (abrada.net , xrxhx.com, nfemo.com и другие) c дальнейшим редиректом на нужную страницу.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.06.2017, 15:50

Уважаемый(ая) Alex_redd, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 16.06.2017, 10:32

Здравствуйте,

- Подготовьте лог AdwCleaner и приложите его в теме.

**Alex_redd** · 16.06.2017, 12:11

Лог

SQ · 17.06.2017, 18:32

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**Alex_redd** · 18.06.2017, 00:48

Лог после очистки

SQ · 18.06.2017, 03:19

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Alex_redd** · 18.06.2017, 11:54

Логи FRST

SQ · 19.06.2017, 09:21

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2382261246-3867670028-3698590780-1000\...\Run: [] => [X]
FF Extension: (Ace Stream Web Extension) - C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\huvr4f8w.123\Extensions\[email protected] [2017-06-11]
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B79DD181F-CFDC-4F2D-9065-D89C0F316D7B%7D&gp=811041
CHR Extension: (Ace Stream Web Extension) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2017-05-27]
File: C:\Windows\System32\DRIVERS\lilsgt.sys
Folder: C:\Windows\system32\EventProviders
2017-06-11 02:32 - 2017-06-11 02:32 - 00000000 ____D C:\Users\Alex\AppData\LocalLow\.ACEStream
2017-06-11 02:31 - 2017-06-11 02:33 - 00000000 ____D C:\Users\Alex\AppData\Roaming\ACEStream
2017-06-11 02:30 - 2017-06-18 04:22 - 00000000 ____D C:\Users\Alex\AppData\Roaming\.ACEStream
Folder: C:\Users\Alex\AppData\Roaming\RoxTemp
File: C:\Users\Alex\AppData\Roaming\Flash Player Service.exe
Zip: C:\Users\Alex\AppData\Roaming\Flash Player Service.exe
2016-08-15 16:26 - 2016-08-14 19:16 - 183422976 _____ () C:\Users\Alex\AppData\Roaming\Flash Player Service.exe
2016-06-10 22:44 - 2016-06-10 22:44 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2016-10-12 23:39 - 2016-10-12 23:39 - 0000016 _____ () C:\ProgramData\mntemp
Task: {3F15E21D-21EE-4569-9B46-74D145A8D9F7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {8EFA212C-0A07-4759-A0EA-3D91F76AE7DF} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {D0C3EC40-4177-461E-8738-062E4CFAC0C4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
2011-06-12 18:09 - 2011-06-12 18:09 - 00038400 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\_socket.pyd
2011-06-12 18:09 - 2011-06-12 18:09 - 00720896 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\_ssl.pyd
2011-07-16 00:37 - 2011-07-16 00:37 - 00981504 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\wx._core_.pyd
2011-07-16 00:38 - 2011-07-16 00:38 - 00746496 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\wx._gdi_.pyd
2011-07-16 00:38 - 2011-07-16 00:38 - 00670720 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\wx._windows_.pyd
2011-07-16 00:38 - 2011-07-16 00:38 - 00966144 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\wx._controls_.pyd
2011-07-16 00:38 - 2011-07-16 00:38 - 00674816 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\wx._misc_.pyd
2011-06-12 18:06 - 2011-06-12 18:06 - 00287232 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\_hashlib.pyd
2011-01-19 02:56 - 2011-01-19 02:56 - 00334336 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\M2Crypto.__m2crypto.pyd
2011-06-12 18:06 - 2011-06-12 18:06 - 00011776 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\select.pyd
2011-06-12 18:06 - 2011-06-12 18:06 - 00152576 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\pyexpat.pyd
2012-02-07 21:37 - 2012-02-07 21:37 - 00098816 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\win32api.pyd
2012-02-07 21:35 - 2012-02-07 21:35 - 00110080 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\pywintypes27.dll
2012-02-07 21:38 - 2012-02-07 21:38 - 00358912 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\pythoncom27.dll
2012-02-07 21:36 - 2012-02-07 21:36 - 00111616 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\win32file.pyd
2012-02-07 21:36 - 2012-02-07 21:36 - 00024064 _____ () C:\Users\Alex\AppData\Roaming\ACEStream\updater\lib\win32pdh.pyd
AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [144]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:CB0AACC9 [144]
MSCONFIG\Services: Ghostery Storage Server => 2
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Файл карантина вида <дата>_<время>.zip с рабочего стола загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**Alex_redd** · 19.06.2017, 11:46

Прикладываю лог

SQ · 19.06.2017, 12:07

Вам знаком файл размером182 мб который был ранее помещен в карантин?

Код:

C:\Users\Alex\AppData\Roaming\Flash Player Service.exe

File not signed
MD5:
Creation and modification date: 2016-08-15 16:26 - 2016-08-14 19:16
Size: 183422976
Attributes: ----A
Company Name:
Internal Name: thangkura.exe
Original Name: thangkura.exe
Product: Adobe Flash Player
Description: Adobe Flash Player
File Version: 1.0.0.0
Product Version: 1.0.0.0
Copyright: Copyright © 2016

**Alex_redd** · 19.06.2017, 12:33

Нет.

SQ · 20.06.2017, 00:59

Сообщите, что с проблемой?

**Alex_redd** · 20.06.2017, 01:21

Сообщение от SQ

Сообщите, что с проблемой?

Вроде бы решилась, буду наблюдать.

SQ · 20.06.2017, 11:56

понаблюдайте и отпишите пожалуйста.

**Alex_redd** · 23.06.2017, 21:14

Проблема полностью решилась только после полного удаления AceStream

SQ · 24.06.2017, 06:17

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Удачи Вам!

**CyberHelper** · 24.06.2017, 06:27

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Редирект на странные адреса. (заявка № 212932)

Опции темы