Junior Member
Вес репутации
31
Автоматически открываются новые вкладки с рекламой
Добрый день! В браузерах автоматически открываются новые вкладки (в большинстве своем рекламного характера: WoT, Казино, Грин Кард в Америке и т.п.). Еще постоянно хочет установить FLV плеер. Помогите пожалуйста с решением проблемы.
Почитав темы на форуме, запустил программу FRST. Лог прикладываю.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) TYRA , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [SpaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
HKLM-x32\...\Run: [mbot_ru_014010152] => [X]
HKLM-x32\...\Run: [rec_en_77] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010152] => [X]
HKLM-x32\...\Run: [ZaxarGameBrowser] => "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s
HKLM-x32\...\Run: [ZaxarLoader] => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
HKLM-x32\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe"
HKLM-x32\...\Run: [gmsd_ru_005010153] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010160] => C:\Program Files (x86)\gmsd_ru_005010160\gmsd_ru_005010160.exe [4336304 2015-11-28] ()
HKLM-x32\...\RunOnce: [upgmsd_ru_005010160.exe] => C:\Users\Артур\AppData\Local\gmsd_ru_005010160\upgmsd_ru_005010160.exe [3280560 2015-11-28] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1448049258&z=2c8c39dceeb23a201e5fb82g4z2z3baeczdt8o1wbb&from=amt&uid=toshibaxmk3265gsx_31ikb6aubxx31ikb6aub&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1448049258&z=2c8c39dceeb23a201e5fb82g4z2z3baeczdt8o1wbb&from=amt&uid=toshibaxmk3265gsx_31ikb6aubxx31ikb6aub&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1448049258&z=2c8c39dceeb23a201e5fb82g4z2z3baeczdt8o1wbb&from=amt&uid=toshibaxmk3265gsx_31ikb6aubxx31ikb6aub&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1448049258&z=2c8c39dceeb23a201e5fb82g4z2z3baeczdt8o1wbb&from=amt&uid=toshibaxmk3265gsx_31ikb6aubxx31ikb6aub&q={searchTerms}
HKU\S-1-5-21-3100270851-495765088-334626360-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1448049258&z=2c8c39dceeb23a201e5fb82g4z2z3baeczdt8o1wbb&from=amt&uid=toshibaxmk3265gsx_31ikb6aubxx31ikb6aub
SearchScopes: HKU\S-1-5-21-3100270851-495765088-334626360-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1448049258&z=2c8c39dceeb23a201e5fb82g4z2z3baeczdt8o1wbb&from=amt&uid=toshibaxmk3265gsx_31ikb6aubxx31ikb6aub&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1448114888&z=53ce942825066e87aeb91bfg9z2z4bcg1gazbteefo&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://mail.ru/cnt/7993/","hxxp://www.yandex.ru/?win=46&clid=135293","hxxp://www.oursurfing.com/?type=hp&ts=1448049258&z=2c8c39dceeb23a201e5fb82g4z2z3baeczdt8o1wbb&from=amt&uid=toshibaxmk3265gsx_31ikb6aubxx31ikb6aub","hxxp://www.istartpageing.com/?type=hp&ts=1448049926&z=1d8100458247f4c794b9466gbz6z0b2e9zft9tac1b&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB","hxxp://www.istartpageing.com/?type=hp&ts=1448114888&z=53ce942825066e87aeb91bfg9z2z4bcg1gazbteefo&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB","hxxp://www.istartpageing.com/?type=hp&ts=1448131924&z=ce50a4fad792941e74830a3g6z8z1b8gec0get2c1b&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB","hxxp://www.istartpageing.com/?type=hp&ts=1448199746&z=4e31505c196a3525a9335bbg6z3zab6gft5t0m6zdq&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB"
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.istartpageing.com/?type=sc&ts=1448199746&z=4e31505c196a3525a9335bbg6z3zab6gft5t0m6zdq&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartpageing.com/?type=sc&ts=1448199746&z=4e31505c196a3525a9335bbg6z3zab6gft5t0m6zdq&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB
R2 gyqesupu; C:\Program Files (x86)\238B63E0-1448049307-11B2-8000-F94A62191885\knszCDF7.tmp [677376 2015-11-22] () [File not signed]
R2 hevubese; C:\Program Files (x86)\238B63E0-1448049307-11B2-8000-F94A62191885\hnskEC16.tmp [750080 2015-11-20] () [File not signed]
S4 hidekoqe; C:\Users\Артур\AppData\Local\238B63E0-1448222965-11B2-8000-F94A62191885\qnso154A.tmp [142336 2015-11-22] () [File not signed]
R2 wigynebu; C:\Program Files (x86)\238B63E0-1448049307-11B2-8000-F94A62191885\jnsfD569.tmp [252928 2015-11-20] () [File not signed]
S0 SpiderG3; system32\drivers\spiderg3.sys [X]
S1 swsedrvr_vt_1_10_0_25; system32\drivers\swsedrvr_vt_1_10_0_25.sys [X]
2015-11-28 21:51 - 2015-12-01 09:39 - 00000000 ____D C:\Users\Артур\AppData\Local\gmsd_ru_005010160
2015-11-28 21:51 - 2015-11-28 21:51 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP
2015-11-28 21:51 - 2015-11-28 21:51 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_005010160
2015-11-22 20:09 - 2015-11-22 21:03 - 00000000 ____D C:\Users\Артур\AppData\Local\238B63E0-1448222965-11B2-8000-F94A62191885
2015-11-22 16:42 - 2015-11-24 14:11 - 00000000 ____D C:\Users\Все пользователи\JWMiniProJ
2015-11-21 21:54 - 2015-11-21 21:54 - 00000000 ____D C:\ProgramData\TimeTasks
2015-11-21 21:54 - 2015-11-21 21:54 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser
2015-11-21 21:52 - 2015-11-21 21:53 - 00000000 ____D C:\Users\Все пользователи\XWMiniProX
2015-11-21 18:08 - 2015-11-22 16:42 - 00000098 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-21 18:08 - 2015-11-21 18:10 - 00000000 ____D C:\ProgramData\nWMiniPron
2015-11-21 18:08 - 2015-11-21 18:08 - 00000000 ____D C:\Users\Артур\AppData\Roaming\istartpageing
2015-11-21 17:08 - 2015-11-22 21:03 - 00000000 ____D C:\Program Files (x86)\SpaceSondPro_v53.9414
2015-11-21 17:07 - 2015-11-22 20:28 - 00000000 ____D C:\Users\Артур\AppData\LocalLow\SmartWeb
2015-11-20 23:14 - 2015-11-22 21:03 - 00000000 ____D C:\Users\Артур\AppData\Local\6177
2015-11-20 23:05 - 2015-11-22 21:05 - 00000000 ____D C:\Users\Артур\AppData\Local\SmartWeb
2015-11-20 23:05 - 2015-11-22 21:03 - 00000000 ____D C:\Program Files (x86)\SpaceSondPro_v53.9388
2015-11-20 23:05 - 2015-11-22 21:03 - 00000000 ____D C:\Program Files (x86)\SpaceSondPro
2015-11-20 22:59 - 2015-11-20 22:59 - 00000000 ____D C:\Users\Артур\AppData\Roaming\MailProducts
2015-11-20 22:55 - 2015-11-21 17:08 - 00000008 _____ C:\END
2015-11-20 22:55 - 2009-06-11 00:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_ru_005010160_is1" /f /reg:32
ShortcutWithArgument: C:\Users\Артур\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartpageing.com/?type=sc&ts=1448114888&z=53ce942825066e87aeb91bfg9z2z4bcg1gazbteefo&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB <==== ATTENTION
ShortcutWithArgument: C:\Users\Артур\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartpageing.com/?type=sc&ts=1448114888&z=53ce942825066e87aeb91bfg9z2z4bcg1gazbteefo&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB <==== ATTENTION
ShortcutWithArgument: C:\Users\Артур\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartpageing.com/?type=sc&ts=1448049926&z=1d8100458247f4c794b9466gbz6z0b2e9zft9tac1b&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB --disable-quic <==== ATTENTION
ShortcutWithArgument: C:\Users\Артур\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartpageing.com/?type=sc&ts=1448114888&z=53ce942825066e87aeb91bfg9z2z4bcg1gazbteefo&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB <==== ATTENTION
ShortcutWithArgument: C:\Users\Артур\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartpageing.com/?type=sc&ts=1448049926&z=1d8100458247f4c794b9466gbz6z0b2e9zft9tac1b&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB --disable-quic <==== ATTENTION
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartpageing.com/?type=sc&ts=1448114888&z=53ce942825066e87aeb91bfg9z2z4bcg1gazbteefo&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB <==== ATTENTION
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartpageing.com/?type=sc&ts=1448049926&z=1d8100458247f4c794b9466gbz6z0b2e9zft9tac1b&from=cmi&uid=TOSHIBAXMK3265GSX_31IKB6AUBXX31IKB6AUB --disable-quic <==== ATTENTION
C:\Program Files (x86)\238B63E0-1448049307-11B2-8000-F94A62191885
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры , запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сделайте логи AVZ и HijackThis по правилам .
Junior Member
Вес репутации
31
Все сделал. Файл AVZ - virusinfo_syscure.zip не появился.
Вложения
Выполните скрипт в AVZ :
Код:
begin
DeleteService('nfjbgxkm');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #1');
RebootWindows(false);
end.
Компьютер перезагрузится.
Сообщите, решена ли проблема.
Junior Member
Вес репутации
31
Сообщение от
Vvvyg
Выполните скрипт в AVZ :
Код:
begin
DeleteService('nfjbgxkm');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #1');
RebootWindows(false);
end.
Компьютер перезагрузится.
Сообщите, решена ли проблема.
Да, проблема решена! Огромное Вам спасибо!!!
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения .