firefox portable захвачен спайварами ! [not-a-virus:NetTool.Win32.NetFilter.ge ]

**prostoya** · 26.10.2016, 01:33

Всем добра.
вышло так что портативный фф теперь иногда скрывает рандомные сайты заглушками, на время, рекламного типа конечно, но еще чаще вылезают доп блоки рекламы от "ScreenUP" или както так, сверху полосой и справа нижний угол, типа как у гугла, на тех сайтах где такого никогда не было и быть не может.
полное удаление всей папки профиля и создание нового - не помогло.
но и другой браузер "хром" тоже портабл, при этом не подает признаков заражения совсем...

а так знаю чем и в какой момент это все наприлетало даже, просто в запарке тыкнул куда не надо ) - но как лечить ?, никогда такого не встречал еще..

адд
а еще несколько раз самопроизвольно запускался после ребута, именно дефолтный профиль почему-то, ну и с стартовой страницей какого-то стремного поисковика, очень похожего на яндекс.

адд2
еще "яндекс" что-то перестал открываться, вроде как из-за сертифката:

спойлер

Ваше соединение не защищено

Владелец market.yandex.ru неправильно настроил свой веб-сайт. Чтобы защитить вашу информацию от кражи, Firefox не соединился с этим веб-сайтом.

Этот сайт использует HTTP Strict Transport Security (HSTS), чтобы указать, что Firefox должен подключаться к нему только через защищённое соединение. В результате, добавление исключения для этого сертификата невозможно.

Подробнее…

Отправка сообщений о подобных ошибках поможет Mozilla обнаружить и заблокировать вредоносные сайты

market.yandex.ru использует недействительный сертификат безопасности.

К сертификату нет доверия, так как сертификат его издателя неизвестен.
Сервер мог не отправить соответствующие промежуточные сертификаты.
Может понадобиться импортировать дополнительный корневой сертификат.

Код ошибки: SEC_ERROR_UNKNOWN_ISSUER
https://market.yandex.ru/product--tp...r842n/13791523

Издатель сертификата узла не распознан.

Форсированное защищённое соединение HTTP (HSTS): true

Привязка открытого ключа HTTP (HPKP): false

Цепочка сертификата:

-----BEGIN CERTIFICATE-----

MIIDTDCCAjSgAwIBAgIRAPCVezrQbUZbQK94WMhGF2AwDQYJKoZIhvcNAQELBQAw

JDELMAkGA1UEBhMCRU4xFTATBgNVBAMMDFNlcnZpY2VNZ3IgMjAeFw0xNTExMDIx

MjQ3MjdaFw0xNzExMDExMjQ3MjdaMIGcMQswCQYDVQQGEwJSVTETMBEGA1UECgwK

WWFuZGV4IExMQzEMMAoGA1UECwwDSVRPMQ8wDQYDVQQHDAZNb3Njb3cxGzAZBgNV

BAgMElJ1c3NpYW4gRmVkZXJhdGlvbjEZMBcGA1UEAwwQbWFya2V0LnlhbmRleC5y

dTEhMB8GCSqGSIb3DQEJARYScGtpQHlhbmRleC10ZWFtLnJ1MIGfMA0GCSqGSIb3

DQEBAQUAA4GNADCBiQKBgQCzMOBC0tE+MPVUKzcCPM5YjXUIzLAO8yK3SAof450c

BQ7c+OcfrIs6/aSBRijSZuCAfNi3AH4rNNxLVwb/TP20+iL5GLYQJUgKzvckfB//

j4emaDS7cZQIKy0h4drEGo+EMBFF58UQLsW3h3+OCK0gT+YcmqQ/5PhM0E/IRhOQ

hQIDAQABo4GDMIGAMFEGA1UdEQRKMEiCEG1hcmtldC55YW5kZXgudWGCEG1hcmtl

dC55YW5kZXgucnWCEG1hcmtldC55YW5kZXguYnmCEG1hcmtldC55YW5kZXgua3ow

DAYDVR0TAQH/BAIwADAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwDQYJ

KoZIhvcNAQELBQADggEBAJOaHl68w0g0pdgc9zrSo0UhpvW8fsJXVRx4pyV6vErd

nC3c2+wPaFHG3eKy0p2/6Srl7Cj1MzUtdgz3TMgpOlKIFXHOY97a0hdjDOSl76xZ

1rffl7bbdVCg+n+cjD3KtcMZeAoTLJ3KsO8CdTnfzDJefwFQz5bH1jL6gVHVuaZs

1vVtYYflQVMWvV+LbUogFdj+jZoCwxKFw5rNDbvP9N1p6Ywjx3ynQTi0IKOQEwqr

UgRukM3UD6EGW3qTBVBnE7WNPOSqq7VIgUPbcOW3oq/GBUx+qgqvJml8XcGwgjzE

+m01PH5/6VmDJVWD0oc38bCuXEeGCuwIy4rXdkujEHE=

-----END CERTIFICATE-----

Скрыть

это совпадение, или тоже вирусы ? )

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.10.2016, 01:35

Уважаемый(ая) prostoya, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 28.10.2016, 10:27

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 TerminateProcessByName('c:\program files (x86)\screenup\future_helper.exe'); 
 StopService('ServiceMgr');
 DeleteService('ServiceMgr');  
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','');
 QuarantineFile('c:\program files (x86)\screenup\future_helper.exe','');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\nfapi.dll','');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\ProtocolFilters.dll','');
 QuarantineFile('C:\Users\admin\AppData\Local\FilterStart\FilterStart.exe','');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\nsg75E0.tmp\newadvsplash.dll','');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\nsg75E0.tmp\System.dll','');
 QuarantineFile('C:\WINDOWS\ServiceMgr.sys','');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
 DeleteFile('c:\program files (x86)\screenup\future_helper.exe','32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\nfapi.dll','32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\ProtocolFilters.dll','32');
 DeleteFile('C:\Users\admin\AppData\Local\FilterStart\FilterStart.exe','32');
 DeleteFile('C:\WINDOWS\ServiceMgr.sys','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Language Account Helper" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Trusted Translator Mgr" /F', 0, 15000, true); 
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zyrpjvwztk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте лог Check Browsers' LNK by Dragokas & regist.

- Подготовьте лог AdwCleaner и приложите его в теме.

**prostoya** · 31.10.2016, 02:02

quarantine.zip отправил.
AdwCleaner уже запускал 5 дней назад, но лог вроде остался, прилеплю тут и старые (C0 и S0) и сегодняшний (S1).
а банеры все еще вылезают, после avz скрипта..

SQ · 31.10.2016, 10:16

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**prostoya** · 31.10.2016, 17:15

баннеры все же похоже один раз только вылезли после скрипта первого, но это было из кэша наверно, после больше не видел..
хотя в этих логах сам вижу пару строк с "скринап" этим )

SQ · 31.10.2016, 23:32

сами настраивали ограничения в локальной групповой политике?

Код:

GroupPolicy: Restriction - Windows Defender <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\i9dxufx4.default -> GoSearch
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\i9dxufx4.default -> GoSearch
FF Homepage: Mozilla\Firefox\Profiles\i9dxufx4.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=818406
FF Keyword.URL: Mozilla\Firefox\Profiles\i9dxufx4.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BD0F3B8F7-4271-4505-BF47-601BC53F7CB6%7D&gp=811010
FF SearchPlugin: C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\i9dxufx4.default\searchplugins\GoSearch.xml [2016-10-25]
2016-10-25 07:11 - 2016-10-25 07:11 - 00000258 __RSH C:\Users\admin\ntuser.pol
2016-10-25 05:26 - 2016-10-30 23:31 - 00000000 ____D C:\Users\admin\AppData\Local\FilterStart
2016-10-25 05:26 - 2016-10-30 23:31 - 00000000 ____D C:\Program Files (x86)\ScreenUp
Folder: C:\Users\admin\AppData\Roaming\NotepadPlusPlusApp
2016-10-25 06:40 - 2016-07-26 22:59 - 00002806 __RSH C:\Users\Все пользователи\ntuser.pol
2016-10-25 06:40 - 2016-07-26 22:59 - 00002806 __RSH C:\ProgramData\ntuser.pol
2016-07-25 20:39 - 2016-07-25 20:39 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
File: C:\Users\admin\AppData\Local\Root PC Helper.exe
Task: {0A2707EA-F24E-491A-A44E-229CE9970471} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {378A1AF9-B26D-444B-B4BA-B7AD977E2ABC} - \Microsoft\Windows\Setup\EOONotify -> No File <==== ATTENTION
Task: {451D1510-2153-4ED1-B2E1-1574C3483B82} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {50B04C2F-8CCE-478E-AC05-FF2961584A09} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {5AD2BB52-3E3E-42DC-BED7-7693FC2E54CD} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {77715039-BDC7-45F0-94B7-CCE5DE417EEE} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {A0B26613-D215-4A09-B3D2-B5A3C5A3C0AE} - \Microsoft\Windows\Setup\EOSNotify -> No File <==== ATTENTION
Task: {BACB7173-A7BE-4308-8595-E748025A6861} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {BB5CF6D9-4206-4EB6-9128-2DE2D823AF54} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {DFE4F578-CDD6-45E1-B1B6-14CE5FAB5F6C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Проверьте диски на наличие проблем:

Код:

Error: (10/28/2016 04:37:18 AM) (Source: disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR82.

Error: (10/27/2016 10:03:51 PM) (Source: disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR78.

Error: (10/27/2016 12:29:34 AM) (Source: disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR34.

**prostoya** · 01.11.2016, 08:21

Сообщение от SQ

сами настраивали ограничения в локальной групповой политике?

не помню, до 10 было обновлено с 7 - возможно еще оттуда, все никак не переставлюсь )

Сообщение от SQ

Проверьте диски на наличие проблем:

а не подскажите подробней, как ?
винту пол года вроде нет еще, хотя сразу был перепилен в гпт разметку, под уефи биос, но делалось это в первый раз если честно..

SQ · 01.11.2016, 09:40

Закройте и сохраните все открытые приложения.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
CloseProcesses:
File: C:\Users\admin\AppData\Roaming\NotepadPlusPlusApp\nppApplication2.exe
Zip: C:\Users\admin\AppData\Roaming\NotepadPlusPlusApp\nppApplication2.exe
Reboot:
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Файл Upload.zip С рабочего стола загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Сообщение от prostoya

а не подскажите подробней, как ?
винту пол года вроде нет еще, хотя сразу был перепилен в гпт разметку, под уефи биос, но делалось это в первый раз если честно..

Зависит от производителя дисков, Вам для начало необходимо убедиться, что это диски а не флэшки.

Код:

\Device\Harddisk1\DR**

Ваш случае разные:

Код:

\Device\Harddisk1\DR82.
\Device\Harddisk2\DR78.
\Device\Harddisk1\DR34.

**prostoya** · 01.11.2016, 17:21

Сообщение от SQ

[LIST]
Зависит от производителя дисков, Вам для начало необходимо убедиться, что это диски а не флэшки.

Код:

\Device\Harddisk1\DR**

Ваш случае разные:

Код:

\Device\Harddisk1\DR82.
\Device\Harddisk2\DR78.
\Device\Harddisk1\DR34.

точно не флэшки, а это не могут быть разделы на одном винте ?
у меня их как раз там 3, не видимые в системе:
- в начале диска "шифрованный (EFI) системный раздел" создался сам..
- С "системный" (загрузка, файл подкачки и тд и тп... )
- "раздел восстановления" 449мб тоже создался сам..
- D "основном раздел" - не знаю почему основной* именно ) - может не так распилил, но на скорость не влияет ведь ?

- "Не размеченная область" в конце еще на 130гб..

SQ · 01.11.2016, 17:52

Закройте и сохраните все открытые приложения.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
CloseProcesses:
C:\Users\admin\AppData\Roaming\NotepadPlusPlusApp
Reboot:
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**prostoya** · 01.11.2016, 18:09

сделано

SQ · 01.11.2016, 23:02

Сделайте лог полного сканирования МВАМ

**prostoya** · 02.11.2016, 08:49

сделано

SQ · 02.11.2016, 10:35

Удалите в MBAM:

Код:

PUP.Optional.NeoBar, HKLM\SOFTWARE\CLASSES\CLSID\{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575}, , [e892bffca9f177bf0db43c5a11f1dc24], 
PUP.Optional.StartPage, HKU\S-1-5-21-1105520344-3663963772-943658761-1000\SOFTWARE\START PAGE, , [4c2effbc1e7c2214259315de58ab0df3], 
PUP.Optional.StartPage, HKU\S-1-5-21-1105520344-3663963772-943658761-1000\SOFTWARE\START PAGE|Start Page, http://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=01C22145C90ABE02885229ACBAC495DA&utm_d=20161025, , [4c2effbc1e7c2214259315de58ab0df3]

**prostoya** · 02.11.2016, 18:50

удалил

SQ · 02.11.2016, 21:13

Сообщите, что с проблемой?

**prostoya** · 02.11.2016, 21:29

ну как выше писал - после первой чистки АВЗ еще, при первой загрузке первой страницы только вылезли баннеры опять, но видимо это было из кэша, после ф5 уже пропало, и на других не припомню..

в общем спасибо

а про последнюю програмку хотел уточнить - она же установилась в систему, и в трее висит ее кусок - он в онлайн режиме мониторит всякое ?
но главный вопрос - будет ли оно мне выбор давать, что пропускать а что нет, или как антивирус с правами вахтера ? )
а и с "триал" у нее - после тестового периода она станет бесполезной ?

SQ · 02.11.2016, 23:17

Очистите куки, кэш браузеров и кэш DNS (http://virusinfo.info/showthread.php?t=128635)

MBAM лучше удалить через установку программ в панели управления, так как есть вероятность ложных срабатываний.

**CyberHelper** · 02.11.2016, 23:27

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 7
В ходе лечения обнаружены вредоносные программы:
1. c:\users\admin\appdata\local\filterstart\filtersta rt.exe - not-a-virus:NetTool.Win32.NetFilter.ge