Помогите найти зловреда!

[Vdfvrefer]

Добрый день уважаемые эксперты сайта virusinfo!

Предполагаю, что вопрос будет для Вас интересным, я уже перепробовал все способы, чистил всем, что только возможно, но проблема никак
не решается. Суть её раскрыта в следующем видео(лог который положено прикладывать при открытии заявки приложен ниже):

[Info_bot]

Уважаемый(ая) Vdfvrefer, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Качество видео оставляет желать лучшего
Лучше бы словами описали.

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Vova\AppData\Roaming\Browsers\exe.atemok.bat','');
 DeleteFile('C:\Users\Vova\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\Vova\AppData\Roaming\Browsers\exe.atemok.bat','32');
 DeleteFile('C:\Users\Vova\Favorites\Links\Интернет.url','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пофиксите в HiJack

Код:

O2 - BHO: VkTheme - {9E2F8944-2BC5-4A96-90AC-6A8F069BFFE7} - C:\Program Files (x86)\VkTema\vktheme64.dll (file missing)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - MSConfig\startupreg:  [hsxamwpzyp]  (2016/12/24) (no file)

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

[Vdfvrefer]

За видео сори, в след. раз качественнее сделаю.
Карантин тоже прикрепил сюда, по ссылке пробовал, но пишет, что я уже высылал этот файл. Там с первого раза у меня как-то не корректно прикрепилось.

Все выполнил прикладываю файлы:

[thyrex]

Я же просил

Лучше бы словами описали.

Ждем описания проблемы.

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Vdfvrefer]

Если в двух словах: Сама проблема: при открытии любого браузера сразу открывается вкладка с рекламой.
Что делал сам: проверил везде где мог(ярлыки, просто поиск по реестру этого адреса, adwcleaner и т.д.), ни где не встречается адресов которые могли бы подставлять при загрузке любого браузера, в ярлыках чисто, даже когда сам создаешь ярлык он всегда открывается и сразу вкладка с рекламой, все расширения отключены, в списке открываемых страниц при открытии браузера нету этого адреса.

За одно новое видео попытка номер 2 :

[thyrex]

Интернет через роутер?

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\Vova\AppData\Local\Temp\mcse32_00.dll -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\Vova\AppData\Local\Temp\mcse32_00.dll -> No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\Vova\AppData\Local\Temp\mcse32_00.dll -> No File
CHR HKU\S-1-5-21-286566803-3753112634-3893842466-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: VkTheme -> {9E2F8944-2BC5-4A96-90AC-6A8F069BFFE7} -> C:\Program Files (x86)\VkTema\vktheme64.dll => No File
Toolbar: HKU\S-1-5-21-286566803-3753112634-3893842466-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR HKU\S-1-5-21-286566803-3753112634-3893842466-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-286566803-3753112634-3893842466-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nfedoihopcjdfjihhhojdclnfdgomdho] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofjddojcpeoofimcdnkhebklamdnblap] - C:\Program Files (x86)\VkTema\vktema.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Vdfvrefer]

Интернет через роутер: Huawei hg8245h-256m в модеме проверил DNS, там настройки провайдера как положено.

Прикрепил файл:

[thyrex]

там настройки провайдера как положено

Включая настройки DNS-серверов?

Сделайте лог полного сканирования МВАМ

[Vdfvrefer]

Да настройки DNS как раз и проверил, как написал выше.
Лог полного сканирования MBAM сделать не могу, так как МВАМ уже совсем не тот, инструкция не подходит там все не то, может есть обновленная версия инструкции?
А вообще я MBAM уже проверял все (еще до того как на virusinfo закинул свой запрос о помощи) и удалил все подозрительное. Можете еще есть варианты другие?

[mrak74]

Интернет через роутер: Huawei hg8245h-256m в модеме проверил DNS, там настройки провайдера как положено.

Покажите скриншот этих настроек.

[Vdfvrefer]

Записал видео как я хожу по настройкам Huawei hg8245h-256m, так нагляднее и больше видно:


Если какой либо эксперт хотел бы удаленно изучить этот вопрос, напишите пожалуйста мне в личку дам доступ, мне кажется ситуация особая, так как ну никак не видно, где что сидит.

[mrak74]

Добрый вечер !!! Проведем несколько экспериментов:
1) Проверить работу браузеров в безопасном режиме с поддержкой сети. Сообщите результат, есть реклама, нет рекламы.
2) Подключить компьютер напрямую к сети, минуя роутер (несмотря на правильные DNS). На компьютере установите гугловские или яндекс ДНС на время пробы. Сообщите результат.
3) Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Vdfvrefer]

Добрый вечер, результат экспериментов:
1) Все аналогично и в безопасной режиме открывает вкладку с рекламой в любом браузере (chrome, firefox, internet explorer)
2) Это не возможно сделать так как Huawei hg8245h-256m это роутер работающий по технологии XPon и не возможно без него работать с оптической средой.
3) Результат во вложении:


P.s. Маленькое дополнение-рассуждение в виде видео:

[mrak74]

Начните с отключений всех расширений, даже доверенных, поштучно, одновременно проверяя проблему.

1-м (совсем удалите) - CHR Extension: (OneTab) - C:\Users\Vova\AppData\Local\Google\Chrome\User Data\Default_\Extensions\chphlpgkkbolifaimnlloiipk dnihall [2016-12-24]

Далее отключайте поочередно, в любой последовательности.

Вопрос:

Код:

C:\USERS\VOVA\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\гугл хрoм.lnk
C:\USERS\VOVA\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\гугл хром.lnk
C:\USERS\VOVA\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\гугл хром (2).lnk

Эти ярлыки Вы сами создали ?

[Vdfvrefer]

1) Расширения все отключил поочередно результата не дало.
2) Ярлыки эти не создавал, они на панели быстрой загрузки, но в windows 7 на этом компе эта панель скрыта и не используется, т.е. их я не использую никак.

[mrak74]

Не жалко будет удалить все расширения разом ? Не отключить, а именно удалить ?

[Vdfvrefer]

Во всех браузерах удалил все расширения и надстройки.
Все осталось по прежнему.
Тут что-то сверх неординарное не разу с таким не сталкивался, нужно собирать лучших экспертов на изучение этого вопроса, данный ребус думаю будет интересен сообществу данной тематики.

[mrak74]

С праздником !!!