Открывается браузер с рекламой при запуске пк

**Andromegas** · 16.06.2017, 09:45

Здравствуйте, неприятная штука появилась, своими силами пока избавится не получается, даже после удаления оперы реклама открывается в эксплорере. Буду благодарен за помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.06.2017, 09:50

Уважаемый(ая) Andromegas, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**lex0819** · 16.06.2017, 17:50

Здравствуйте!

1. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

2. Выполните скрипт AVZ.

Код:

begin
 QuarantineFile('C:\Users\Andromegas\AppData\Local\CrashDumps\ISSCH\issch.exe','');
 DeleteFile('C:\Windows\system32\Tasks\Andromegas','64');
 DeleteFile('C:\Windows\system32\Tasks\InstallShield Update Service','64');
 DeleteFile('C:\Users\Andromegas\AppData\Local\CrashDumps\ISSCH\issch.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Opera scheduled Autoupdate 1413837396','64');
 DeleteFile('C:\Windows\system32\Tasks\{1A173FF1-FB9C-4FDC-9ABB-DB16C2DCD856}','64');
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
end.

Перезагрузите компьютер вручную.
Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

3. Пришлите архив карантина из папки AVZ.

4. Сделайте новые логи программой Autologger и пришлите их.

5. Сделайте лог утилитой AdwCleaner и пришлите его.

6. Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Andromegas** · 16.06.2017, 20:38

кажется решил проблему, это долбанный рибаки. извините что сразу не нашел https://virusinfo.info/showthread.php?t=203349 как всё сделал норм стало

**thyrex** · 17.06.2017, 00:52

Написанное в сообщении №3 выполните

**Andromegas** · 17.06.2017, 08:42

спасибо за ответ, странно вчера почему то не видел третье сообщение
в AdwCleaner несколько отчетов, вчера его запускал еще до обращения, извините что так много

**lex0819** · 17.06.2017, 11:42

Судя по логам AdwCleaner'а, вы уже удалили в нем все найденное. Если нет, - удалите.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3169439826-2756104750-523308011-1000\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-3169439826-2756104750-523308011-1000\...\MountPoints2: F - F:\OblivionLauncher.exe
HKU\S-1-5-21-3169439826-2756104750-523308011-1000\...\MountPoints2: H - H:\autorun.exe
HKU\S-1-5-21-3169439826-2756104750-523308011-1000\...\MountPoints2: {553750a8-0fae-11e4-89ce-d850e63cd5ea} - H:\autorun.exe
HKU\S-1-5-21-3169439826-2756104750-523308011-1000\...\MountPoints2: {6af65544-b118-11e5-8023-d850e63cd5ea} - I:\autorun.exe
HKU\S-1-5-21-3169439826-2756104750-523308011-1000\...\MountPoints2: {6af65547-b118-11e5-8023-d850e63cd5ea} - J:\autorun.exe
HKU\S-1-5-21-3169439826-2756104750-523308011-1000\...\MountPoints2: {bd5d3482-5e53-11e4-a971-d850e63cd5ea} - F:\autorun.exe
AppInit_DLLs: C:\Program Files => C:\Program Files [0 2017-06-16] ()
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
FF Homepage: Mozilla\Firefox\Profiles\a0ignonh.default -> hxxp://mail.ru/cnt/10445?gp=blackbear3
FF Keyword.URL: Mozilla\Firefox\Profiles\a0ignonh.default -> hxxp://go.mail.ru/search?fr=ntg&q=
FF Extension: (No Name) - C:\Users\Andromegas\AppData\Roaming\Mozilla\Firefox\Profiles\a0ignonh.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
OPR StartupUrls: "hxxp://mail.ru/cnt/10445"
S1 prodrv05; C:\Windows\SysWOW64\drivers\prodrv05.sys [53568 2002-12-26] (Protection Technology Co.) [File not signed]
S0 prohlp01; C:\Windows\SysWOW64\drivers\prohlp01.sys [61728 2002-12-26] (Protection Technology Co.) [File not signed]
S1 vdixnze5; C:\Windows\SysWOW64\Drivers\vdixnze5.sys [13312 2016-09-30] () [File not signed]
S3 cmudaxp; system32\drivers\cmudaxp.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2017-06-17 12:22 - 2015-03-02 11:50 - 00005984 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2017-06-17 12:22 - 2015-03-02 11:50 - 00005984 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2017-06-16 10:10 - 2016-01-03 02:02 - 00000000 ____D C:\Users\Andromegas\AppData\Local\CrashDumps
2014-10-31 19:31 - 2014-12-14 17:04 - 0000565 _____ () C:\Users\Andromegas\AppData\Roaming\myMPQ.ini
2014-11-16 22:13 - 2014-11-16 22:13 - 0007606 _____ () C:\Users\Andromegas\AppData\Local\Resmon.ResmonCfg
2014-10-17 16:56 - 2014-10-17 16:56 - 0004879 _____ () C:\ProgramData\knmesfut.gey
Task: {596CAE7E-F40A-41A3-BAED-41A149D6071B} - \{1A173FF1-FB9C-4FDC-9ABB-DB16C2DCD856} -> No File <==== ATTENTION
Task: {6546440A-BC3C-421E-B5F9-70E14FD16CBF} - \Opera scheduled Autoupdate 1413837396 -> No File <==== ATTENTION
Task: {90A2008B-C49A-435F-8F6B-5C1BCFE67B86} - System32\Tasks\{6E61BD63-E25C-4668-AA4A-17DA1C0BD28B} => pcalua.exe -a D:\install.exe -d D:\
Task: {9B1336F8-79D0-4F56-BBE4-4F3CC9F54E27} - \InstallShield Update Service -> No File <==== ATTENTION
Task: {A7D45A72-EAA2-40B2-B766-D42BAAF7FB1E} - System32\Tasks\{C9264383-5294-4AFB-85C5-D95601B7C750} => pcalua.exe -a F:\install.exe -d F:\
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Andromegas** · 17.06.2017, 17:07

сделал

**lex0819** · 17.06.2017, 17:15

Уточните, осталась ли проблема?

**Andromegas** · 17.06.2017, 17:49

Сообщение от lex0819

Уточните, осталась ли проблема?

ну основную проблему еще вчера решил. насчет остального вроде всё норм.

**lex0819** · 17.06.2017, 17:52

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

Открывается браузер с рекламой при запуске пк (заявка № 213069)

Опции темы