Сам запускается chrome и пытается зайти на сайт geekto.net

[Serega6968]

Сам запускается браузер chrome примерно каждые 30-40 минут и пытается зайти на сайт geekto.net, стоит антивирус nod32, он блокирует посещение сайта geekto.net предупреждением. Если отключить защиту антивирусом, то вместо geekto.net с таким же интервалом открывается онлайн фильм или сериал, каждый раз новый фильм. Делал проверку АВЗ на вирусы, не нашел ни одного. Хотя нод32 нашел дня 4 назад под 100 вирусов.
И в трее появился значек cmd.exe который не откликается на нажатия.

[Info_bot]

Уважаемый(ая) Serega6968, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Serega6968]

вроде решил проблему.
1. Скачал UnHackMe,
2. запустил проверку в безопасном режиме
3. Удалил все что было со значком "обнаружено"

после 4 обнаружения увидел в названии файла geektoRUN, после этого стал удалять все что находил. Все где то 25 обнаружений, из них в гугл хроме штук 9-10. Комп перезагружал, а сайта geekto.net по прежнему не видать. и значок cmd.exe пропал из трея.


Вот новый лог

[Vvvyg]

Удалите программу RedditSearch.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Serega6968]

Логи, которые просили.

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
2017-12-15 20:27 - 2009-07-14 04:14 - 000001208 _____ () C:\Users\Администратор\AppData\Local\DxieeIi
2017-12-16 10:07 - 2009-07-14 04:14 - 000001208 _____ () C:\Users\Администратор\AppData\Local\DxieeIi.bat
2017-12-02 19:41 - 2009-07-14 04:14 - 000001295 _____ () C:\Users\Администратор\AppData\Local\HCrEV
2017-12-15 20:27 - 2009-07-14 04:14 - 000000074 _____ () C:\Users\Администратор\AppData\Local\hWDOBGQjo
2017-12-16 10:07 - 2009-07-14 04:14 - 000000074 _____ () C:\Users\Администратор\AppData\Local\hWDOBGQjo.bat
2017-12-02 19:41 - 2009-07-14 04:14 - 000001219 _____ () C:\Users\Администратор\AppData\Local\hXCQbbzAkDRg
2017-12-16 19:24 - 2016-11-15 16:08 - 000000034 _____ () C:\Users\Администратор\AppData\Local\installLang.ini
2017-12-15 20:27 - 2009-07-14 04:14 - 000000074 _____ () C:\Users\Администратор\AppData\Local\pYNnQBCNF
2017-12-16 10:07 - 2009-07-14 04:14 - 000000074 _____ () C:\Users\Администратор\AppData\Local\pYNnQBCNF.bat
2017-12-15 20:27 - 2009-07-14 04:14 - 000001145 _____ () C:\Users\Администратор\AppData\Local\UtvVTHZ
2017-12-16 10:07 - 2009-07-14 04:14 - 000001145 _____ () C:\Users\Администратор\AppData\Local\UtvVTHZ.bat
2017-12-02 19:41 - 2017-12-15 20:27 - 000000001 _____ () C:\Users\Администратор\AppData\Local\WMI.ini
2017-12-02 19:41 - 2009-07-14 04:14 - 000000079 _____ () C:\Users\Администратор\AppData\Local\WrLaYKgGZAn
2017-12-02 19:41 - 2009-07-14 04:14 - 000000072 _____ () C:\Users\Администратор\AppData\Local\YcVPOgqd
2017-10-27 16:37 - 2017-10-27 16:37 - 000000000 _____ () C:\Users\Администратор\AppData\Local\{B406C48C-B546-4F8B-AB01-E8AFE46F4818}
2016-03-12 13:42 - 2016-03-12 13:42 - 000000000 ____D () C:\Users\Sergei\AppData\Local\Temp\avgnt.exe
2017-10-16 14:09 - 2017-10-16 14:09 - 000000000 ____D () C:\Users\Администратор\AppData\Local\Temp\avgnt.exe
2017-12-16 19:24 - 2017-12-16 19:24 - 000145792 _____ () C:\Users\Администратор\AppData\Local\Temp\downloader.exe
2017-12-16 22:06 - 2017-12-16 22:06 - 175753848 _____ (ESET) C:\Users\Администратор\AppData\Local\Temp\EsetInstaller.exe
2018-01-17 19:53 - 2006-12-12 04:18 - 000145184 ____R (Microsoft Corporation) C:\Users\Администратор\AppData\Local\Temp\ose00000.exe
2018-01-17 20:23 - 2018-01-17 20:26 - 039283992 _____ (Performix LLC) C:\Users\Администратор\AppData\Local\Temp\setup.exe
2018-01-20 17:42 - 2017-12-15 21:21 - 000215844 _____ () C:\Users\Администратор\AppData\Local\Temp\Uninstall.exe
C:\Windows\System32\lastpass_1337.exe
CustomCLSID: HKU\S-1-5-21-2782894979-3818403755-2039873887-500_Classes\CLSID\{2F7CF8E2-27D9-4641-845D-3BFEDECE0325}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Orbitum\Update\1.3.99.0\npGoogleUpdate3.dll => No File
CustomCLSID: HKU\S-1-5-21-2782894979-3818403755-2039873887-500_Classes\CLSID\{660BAF72-A9EF-4FB1-81AE-9395CA6C39C5}\localserver32 -> "C:\Users\Администратор\AppData\Local\Orbitum\Update\1.3.99.0\GoogleUpdateOnDemand.exe" => No File
CustomCLSID: HKU\S-1-5-21-2782894979-3818403755-2039873887-500_Classes\CLSID\{733EB758-7CF0-4927-A3B9-75EB28490615}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Orbitum\Update\1.3.99.0\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-2782894979-3818403755-2039873887-500_Classes\CLSID\{77E6BE0B-059D-4FF6-A534-4AA0970A7465}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Orbitum\Update\1.3.99.0\npGoogleUpdate3.dll => No File
CustomCLSID: HKU\S-1-5-21-2782894979-3818403755-2039873887-500_Classes\CLSID\{A663A8E3-B533-4153-8EF6-3C5823DE9285}\localserver32 -> "C:\Users\Администратор\AppData\Local\Orbitum\Update\1.3.99.0\GoogleUpdateOnDemand.exe" => No File
CustomCLSID: HKU\S-1-5-21-2782894979-3818403755-2039873887-500_Classes\CLSID\{B5BAE3DD-809E-4BE3-A421-F5D3F17A03D5}\localserver32 -> "C:\Users\Администратор\AppData\Local\Orbitum\Update\1.3.99.0\GoogleUpdateOnDemand.exe" => No File
CustomCLSID: HKU\S-1-5-21-2782894979-3818403755-2039873887-500_Classes\CLSID\{BB42BFD1-B0EB-449C-8882-FB810C2738D5}\localserver32 -> "C:\Users\Администратор\AppData\Local\Orbitum\Update\1.3.99.0\GoogleUpdateOnDemand.exe" => No File
CustomCLSID: HKU\S-1-5-21-2782894979-3818403755-2039873887-500_Classes\CLSID\{CEC92C56-68E4-4494-BA79-EB3A71AD8475}\localserver32 -> "C:\Users\Администратор\AppData\Local\Orbitum\Update\GoogleUpdate.exe" => No File
CustomCLSID: HKU\S-1-5-21-2782894979-3818403755-2039873887-500_Classes\CLSID\{E2380A43-3EB6-4428-9D4E-8E22B8CCB5D4}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Orbitum\Update\1.3.99.0\psuser.dll => No File
Task: {1E23E9F4-B055-438C-A5BA-E37127CB766D} - \hdtask -> No File <==== ATTENTION
Task: {2CAA922C-6748-4C93-979B-D85BB511B720} - \LumProcess -> No File <==== ATTENTION
Task: {3361F900-58B0-4E5D-B4C8-7368F750F9A0} - \HRwBgvoYA -> No File <==== ATTENTION
Task: {374C700B-67C8-4017-8CB3-1C43751C2240} - \RedditSearch2 -> No File <==== ATTENTION
Task: {9BD88F3F-34FC-4F4C-8AA0-8EBEA6B2B5B0} - \orRFB -> No File <==== ATTENTION
Task: {B7FBAD0E-DEEE-4BA2-A3C6-BB9C44806E5D} - \space(title, t_monitor) -> No File <==== ATTENTION
Task: {D183CAE1-2E9A-4709-BBA8-2D0F0EF15DB3} - \MRZbbcnSewp -> No File <==== ATTENTION
Task: {E33EB15E-7F24-4E1C-A874-D517F169B666} - \System\SystemCheck -> No File <==== ATTENTION
Task: {EF069920-D9D9-4C49-9FE8-95C5D90DBC3D} - \Gfoch -> No File <==== ATTENTION
FirewallRules: [{7241AEED-ED00-4810-A0A3-C9825A9DFAEF}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮獜湳獜湳攮數
FirewallRules: [{B1372C56-4800-42E3-95B7-2A81B493A3FB}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮獜湳獜癡略⹰硥e
Virustotal: C:\sse\TrayIt!.exe
Virustotal: C:\sse\cpuminer-sse2.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Serega6968]

все сделал, логи в архиве.

только что после создания логов решил удалить zip архиватор кажется hamstel назывался, хотел поменять на winrar, сразу после его удаления установился браузер яндекс, Плюс снова появился сайт geekto.net, но с ним я знаю как справиться. Запущу снова UnHackMe в безопасном режиме.

[regist]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
• Прикрепите отчет к своему следующему сообщению.

[Serega6968]

сейчас вроде все работает нормально, но появилась новая проблема, откуда все это появляется я не понимаю.
Так вот, при нажатии в youtube на видео или на поиск левой кнопки мыши, открывается вторая вкладка с левым сайтом. Такая же система была на сайте rutor.org, когда при первом нажатии на поиск открывалась реклама. я не верю что ютуб включил туже схему заработка на рекламе.
Перекидываться с ютуба стало вроде после удаления архиватора hamster кажется назывался.

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Serega6968]

сделал все как написали, отчет.

[regist]

что с проблемой?

[Serega6968]

на ютубе при первом заходе на сайт, нажимал в любое место пытался открыться какой то сайт.
реклама все равно лезет с ютуба. Нажал на поиск в ютубе и вот

[regist]

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[Serega6968]

сделал

[regist]

Код:

C:\SSE\TRAYIT!.EXE

Эта программа вам знакома?

Выполните скрипт в uVS

Код:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\869218.ZIP
delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\9451334.ZIP
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\ORBITUM\UPDATE\1.3.99.0\PSUSER.DLL
bl 941F9DBBA18C2B4E313E5761496CFEC7 544
zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2782894979-3818403755-2039873887-1000\$IB4DIIN.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2782894979-3818403755-2039873887-1000\$IB4DIIN.EXE
bl 0DAA7B25ADEF0B6A08EC0DA947673E62 544
zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2782894979-3818403755-2039873887-500\$I07SZ2A.DLL
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2782894979-3818403755-2039873887-500\$I07SZ2A.DLL
delref %SystemDrive%\BVTBIN\TESTS\INSTALLPACKAGE\CBSTEST\X86\CSITEST.DLL
delref %SystemDrive%\PROGRAM FILES\CASHFALLFORCHROME
delref %SystemDrive%\USERS\SERGEI\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FLLIILNDJEOHCHALPBBCDEKJKLBDGFKK\1.7.7_0\AVIRA BROWSER SAFETY
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FLLIILNDJEOHCHALPBBCDEKJKLBDGFKK\2.5.8.1961_0\ВЕБ-ФИЛЬТР AVIRA
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FLLIILNDJEOHCHALPBBCDEKJKLBDGFKK\2.5.1.1845_0\ВЕБ-ФИЛЬТР AVIRA
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\ORBITUM\UPDATE\1.3.99.0\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6743.1212\FILECOAUTHLIB.DLL
delref HTTP:\\GREATIS.COM\UNHACKME-COMSS.INI
delref {77E6BE0B-059D-4FF6-A534-4AA0970A7465}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {2F7CF8E2-27D9-4641-845D-3BFEDECE0325}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {45AC2688-0253-4ED8-97DE-B5370FA7D48A}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref E:\SETUP.EXE
apply

czoo
restart

что с проблемой?

[Serega6968]

Код:

C:\SSE\TRAYIT!.EXE

Эта программа вам знакома?

Мне не знакома, но думаю сейчас почитаю как удалить её.

что с проблемой?

Проблемы те же, после запуска ютуба, нажатие на любое место и тут же пытается открыться новая вкладка с рекламой. Плюс появилась реклама на поисковике гугл (скрин 1). Решил ее просто. Удалил все содержимое с папки C:\Users\Администратор\AppData\Local\Google\Chrome \User Data с импортом закладок, после нового запуска реклама пропала. И первая жалоба, про открывание вкладки на утубе пропала.
А на утюбе официальная реклама то есть? я уже и забыл, на скрине2 адблок работает.

[regist]

Serega6968, вы же сами пишите, что решили проблему с вкладкой. И в том же посте пишите проблема та же. В итоге какие проблемы остались?

+ скачайте отсюда Оперу и проверьте проблему в ней.

[Serega6968]

В итоге какие проблемы остались?

Все в порядке. Жалоб нет, вопросов нет. Спасибо за помощь!

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера