Периодически открываются рекламные сайты в IE. [not-a-virus:RiskTool.Win64.BitCoinMiner.bod ]

[ItPrevails]

Как пример internetgazeta.cardvrmirrorr.ru. С периодичностью примерно полчаса самостоятельно открывается интернет эксплорер с различными сайтами, преимущественно рекламного характера. Удалил все подозрительные планировщики, не помогает.

[Info_bot]

Уважаемый(ая) ItPrevails, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\User\AppData\Roaming\System\libs\svchost.exe');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\System\svchost.exe');
 QuarantineFile('C:\Users\User\AppData\Roaming\System\libs\svchost.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\System\svchost.exe', '');
 QuarantineFileF('C:\Users\User\AppData\Roaming\System', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\User\AppData\Roaming\System\libs\svchost.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\System\svchost.exe', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteService('clr_optimization_v1.03');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

- Сделайте повторные логи по правилам.

[ItPrevails]

Результат проверки карантина: https://virusinfo.info/virusdetector...C5554C0E25500C

[regist]

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O4 - HKCU\..\Run: [Browser Manager] C:\Users\User\AppData\Local\Yandex\BrowserManager\MBLauncher.exe  (file missing)
O4 - HKCU\..\Run: [World of Tanks (1)] E:\TIcher\world of tanks\WargamingGameUpdater.exe  (file missing)
O4 - HKCU\..\Run: [World of Tanks] C:\Games\World_of_Tanks\WargamingGameUpdater.exe  (file missing)
O4 - HKCU\..\Run: [World of Warships] E:\Download\корабли\WargamingGameUpdater.exe  (file missing)
O22 - Task (Ready): \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)

- Сделайте лог полного сканирования MBAM.

[ItPrevails]

лог во вложении

[regist]

Удалите в MBAM всё кроме

Код:

RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, Проигнорировано пользователем, [417], [352776],1.0.1905
RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|TNOD UP, Проигнорировано пользователем, [417], [352776],1.0.1905
RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|TNOD UP, Проигнорировано пользователем, [417], [382498],1.0.1905

что с проблемой?

[ItPrevails]

проблема актуальна

[regist]

опишите подробней.

[ItPrevails]

Не совсем понял, какие нужны подробности. Ссылки продолжают открываться. Вот еще пример: удалено
Открываются примерно раз в час только в Microsoft Edge.

[regist]

Если браузер закрыт тоже открываются?

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[ItPrevails]

Да, браузер открывается самостоятельно.

[regist]

Программы расширения от Mail.ru используете?
А от Yandex расширения сами ставили?

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v4.0.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
dirzooex %SystemDrive%\USERS\USER\APPDATA\ROAMING\NOTEPADPLUSPLUSAPP
;---------command-block---------
bl 1DF032913A5B028FA3E53505E1D15F05 3185112
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\NOTEPADPLUSPLUSAPP\NPPAPPLICATION2.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\NOTEPADPLUSPLUSAPP\NPPAPPLICATION2.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
apply

czoo
restart

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\user\appdata\roaming\system\libs\svchost. exe - not-a-virus:RiskTool.Win64.BitCoinMiner.bod ( BitDefender: Gen:Application.Heur2.RdW@baaaaaaab )