самовольно запускается браузер с рекламой

**dicentra** · 03.01.2017, 20:37

Добрый вечер! сегодня обнаружила такую проблему: самопроизвольно( с периодичностью несколько раз в полчаса) стала запускаться вкладка в Google с сайтом http://perisbritneybig.ru/legiblysm. вкладка какое -то время грузится,а после перекидывает на другие сайты типа Вулкана или других игровых ресурсов. Так как не сильно разбираюсь в системе ПК, очень прошу вашей помощи.
С уважением,Юлия

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.01.2017, 20:38

Уважаемый(ая) dicentra, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 04.01.2017, 21:24

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\libjson.dll','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\mediaservice\wmfengine.dll','32');
 DeleteFile('C:\Users\Yulia\AppData\Local\Amigo\Application\amigo.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
 DeleteFile('C:\Windows\system32\Tasks\perisbritneybig','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**dicentra** · 04.01.2017, 21:53

Сделано

**thyrex** · 04.01.2017, 22:52

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**dicentra** · 05.01.2017, 20:20

стал вылезать новый сайт (http://globalworldcityy.ru/otoxysm)

**mrak74** · 07.01.2017, 04:14

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: H - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: I - I:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: J - J:\setup.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {04603050-7c84-11e5-8fbf-001e101f8924} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {04e73287-6495-11e6-9cd7-001e101fe5e1} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {0784450f-01fb-11e5-8820-001e101f8ed0} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {1d24baff-cba8-11e4-9513-001e101fe5e1} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {274abb8e-dcb0-11e5-9f1a-a0b3cc7d5982} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {274abba8-dcb0-11e5-9f1a-a0b3cc7d5982} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {342981d9-00a6-11e6-8e6f-001e101fabdd} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {3714c290-b941-11e4-87fa-001e101f859f} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {538693b7-8989-11e6-a352-c01885ce6fae} - H:\AUTORUN.EXE
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {5567df49-0fd5-11e6-85e5-001e101f36d9} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {57ee08ea-e018-11e4-b017-a0b3cc7d5982} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {7755ba84-ef3b-11e5-944e-a0b3cc7d5982} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {7755baa8-ef3b-11e5-944e-a0b3cc7d5982} - I:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {7ae1e0b8-d091-11e4-9efe-001e101f2b52} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {881a33db-b2c5-11e5-aee6-001e101f36d9} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {881a33e6-b2c5-11e5-aee6-001e101f36d9} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {8b825d17-fe2f-11e4-bf62-a0b3cc7d5982} - L:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {8fa86adb-fe0b-11e4-8950-001e101f8ed0} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {8fa86ae7-fe0b-11e4-8950-001e101f8ed0} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {94ca64a8-de2b-11e5-a349-001e101f7fb6} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {98956005-ceda-11e4-b502-001e101f8924} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {9f2a31fe-01b8-11e6-88e4-001e101f1ed9} - I:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {aff3857b-07f6-11e6-8a73-001e101f1838} - I:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {aff38586-07f6-11e6-8a73-001e101f1838} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {c2c26e82-b9b3-11e4-875d-c01885ce6fae} - J:\setup.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {c2fef0b5-cbff-11e4-9c18-001e101f82a0} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {c2fef0c1-cbff-11e4-9c18-001e101f82a0} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {c9096837-2495-11e5-88c8-c01885ce6fae} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {c9096843-2495-11e5-88c8-c01885ce6fae} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {cb3ebfce-63aa-11e6-9d5f-001e101f2b34} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {cc3a03c7-cc0e-11e4-a394-c01885ce6fae} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {ded20f7d-5e58-11e6-9529-c01885ce6fae} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {ded20f88-5e58-11e6-9529-c01885ce6fae} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {e48ea5f1-b91f-11e4-948c-a0b3cc7d5982} - I:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {e48ea602-b91f-11e4-948c-a0b3cc7d5982} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {e48ea656-b91f-11e4-948c-001e101f36d9} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {f1bfed8b-0caf-11e6-94a0-001e101faa49} - H:\AutoRun.exe
HKU\S-1-5-21-3326835520-702707796-2471575804-1000\...\MountPoints2: {f83fa61c-6431-11e5-b956-001e101f82a0} - H:\AutoRun.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3326835520-702707796-2471575804-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B0B8896DD-5D2D-4B67-A2CA-9E2AD9EC2322%7D&gp=811041
SearchScopes: HKU\S-1-5-21-3326835520-702707796-2471575804-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B0B8896DD-5D2D-4B67-A2CA-9E2AD9EC2322%7D&gp=811041
BHO: Adblock Plus for IE Browser Helper Object -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> C:\Program Files\Adblock Plus for IE\AdblockPlus64.dll [2015-02-25] (Eyeo GmbH)
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Yulia\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File
BHO-x32: Adblock Plus for IE Browser Helper Object -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> C:\Program Files\Adblock Plus for IE\AdblockPlus32.dll [2015-02-25] (Eyeo GmbH)
CHR Extension: (Adblock Plus) - C:\Users\Yulia\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-11-11]
CHR Extension: (Block site) - C:\Users\Yulia\AppData\Local\Google\Chrome\User Data\Default\Extensions\eiimnmioipafcokbfikbljfdeojpcgbh [2017-01-03]
CHR HKLM-x32\...\Chrome\Extension: [bgomnbpelpcdicbnicimghcecemjpbef] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kppacdmmddediahklmcgkgdhhoojemmd] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Tampermonkey) - C:\Users\Yulia\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-03]
OPR Extension: (Видеогет) - C:\Users\Yulia\AppData\Roaming\Opera Software\Opera Stable\Extensions\jbaoihkpnhecmamamkpfinelpolglncb [2015-05-12]
OPR Extension: (SaveFrom.net helper) - C:\Users\Yulia\AppData\Roaming\Opera Software\Opera Stable\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl [2015-04-11]
OPR Extension: (Adblock Plus) - C:\Users\Yulia\AppData\Roaming\Opera Software\Opera Stable\Extensions\oidhhegpmlfpoeialbgcdocjalghfpkp [2016-12-17]
2017-01-03 18:23 - 2017-01-04 21:37 - 00000000 ____D C:\Program Files (x86)\Zaxar
Task: {29DC84EA-35D8-4C59-8C09-6A59D528EC5A} - \ExtensionInstallerX_videoge_0.1.3 -> No File <==== ATTENTION
Task: {938DDB7E-BD85-4FC0-BCCC-CD181AC6AF0E} - \perisbritneybig -> No File <==== ATTENTION
Task: {E84966BC-D417-4153-BFFD-B817D5DCA93A} - System32\Tasks\globalworldcityy => Chrome.exe hxxp://globalworldcityy.ru/otoxysm
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**dicentra** · 07.01.2017, 17:59

Сделала

**mrak74** · 07.01.2017, 18:47

Что с проблемой ?

**dicentra** · 10.01.2017, 15:00

спасибо за помощь.все решилось)

**CyberHelper** · 10.01.2017, 15:10

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения вредоносные программы в карантинах не обнаружены

самовольно запускается браузер с рекламой (заявка № 207658)

Опции темы