Самовольно открывается браузер с рекламой

[George Peregnac]

Здравствуйте, господа хелперы. Вы неоднократно помогали в решении сложных задач и вот, возникла необходимость прибегнуть к вашей помощи снова.

Ситуация такая. В моё отсутствие, кто то плотно похозяйничал на компьютере. Появился стандартный набор, в виде "браузеров амиго, заксаров и прочего". Система - Win 7x64, в качестве антивируса стоит Microsoft Security Essentials + время от времени пользуюсь MBAM.

Гадость, которую мог, изгнал вручную, но часть проблем осталась. В Firefox эпизодически открываются вкладки с рекламой, а иногда, запуск происходит самовольно, если компьютер включен.

Всё, что нашёл MBAM - удалил, MSE и AVP Tool (от Касперского) так ничего и не нашли, так что ряд проблем всё таки присутствует.

Прошу помощи. Вся необходимая информация приложена ниже. Заранее спасибо. С уважением. Антон



hijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip

[Info_bot]

Уважаемый(ая) George Peregnac, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Users\Ahmed Swarovski\AppData\Roaming\kGZSDRKhr00Myi.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetAE" /F', 0, 15000, true); 
 DeleteFile('C:\Windows\Tasks\kGZSDRKhr00Myi.job','32');
 DeleteFile('C:\Users\Ahmed Swarovski\AppData\Roaming\kGZSDRKhr00Myi.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте лог Check Browsers' LNK by Dragokas & regist.

- Подготовьте лог AdwCleaner и приложите его в теме.

[George Peregnac]

SQ,

Здравствуйте. Сделал всё по списку. Архив с карантином оказался пустым, прикрепить его не удалось. Остальные логи ниже. Если что то сделал не правильно, поправьте. С уважением. Антон

Check_Browsers_LNK.logAdwCleaner[S1].txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[George Peregnac]

Здравствуйте. Всё сделал.
Отчёты ниже.




hijackthis.log
AdwCleaner[S3].txt
virusinfo_syscheck.zip
virusinfo_syscure.zip
Check_Browsers_LNK.log

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[George Peregnac]

SQ,

Добрый вечер. Сделал. На всякий пожарный, прикрепляю оба.


Addition.txt
FRST.txt

Upd.

Так же, переустановил хром, так как тот отказывался открывать центр управления расширениями и работал как попало.
Пока что, рекламы вроде не наблюдается, но всё ли в порядке, не уверен.

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  CHR HKU\.DEFAULT\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll [No File]
  FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll [No File]
  2015-11-29 00:46 - 2015-11-29 00:46 - 0000016 _____ () C:\ProgramData\mntemp
  AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [131]
  AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [134]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [131]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:B755D674 [134]
  HKU\S-1-5-21-1615202532-337797294-230612672-1000\Software\Classes\regfile: regedit.exe "%1" <===== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[George Peregnac]

SQ,

Здравствуйте. Сделал.

Fixlog.txt

[SQ]

Сообщите, что с проблемой?

[George Peregnac]

SQ,

Вроде устранена. Пока что, криминала не наблюдается.

Большое спасибо за помощь

С наступающим!

[SQ]

На это всё! Удачи Вам!