Открывает рекламную вкладку в браузере.

**Сергей Дудник** · 29.11.2013, 23:13

Вчера искал подруге нужную программу, немного расслабился с бдительностью и в итоге подхватил вирус.
Проявляет он себя тем, что при попытке открыть любой (Chrome, Yandex, IE, Firefox) браузер через ярлык перенаправляет меня в браузер заданный как основной (Opera) и открывает там рекламную вкладку по типу рекламы Prime World или ещё какой-то дрянной игры. Так же стало заметно падение быстродействия в Opera.
Dr. Web CureIt диагностировал порядка шести зараженных файлов. Удалил - не помогло. Основным антивирусом у меня установлен AVG, который, в свою очередь, всё это время молчал и совсем недавно стал сообщать о разносортных найденных угрозах (трояны, win tanatos).

В общем надеюсь на вашу помощь, спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 29.11.2013, 23:14

Уважаемый(ая) Сергей Дудник, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Techno** · 01.12.2013, 19:04

- Пофиксите в HijackThis:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=119357&tt=gc_&babsrc=HP_ss_wls_sps&mntrId=76645404A6B1D62D
O2 - BHO: BrowwSe2savee - {F3DEF137-D28A-AA4A-5D02-FB420A253FA3} - (no file)

- Выполните в АВЗ:

Код:

begin
 ClearQuarantine;
 TerminateProcessByName('c:\users\user\appdata\roaming\searchprotect\bin\cltmng.exe');
 QuarantineFile('C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe','');
 QuarantineFile('C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe','');
 QuarantineFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','');
 QuarantineFile('c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll','');
 QuarantineFile('c:\progra~3\bitguard\271769~1.27\{c16c1~1\bitguard.dll','');
 QuarantineFile('c:\users\user\appdata\roaming\searchprotect\bin\cltmng.exe','');
 DeleteFile('c:\users\user\appdata\roaming\searchprotect\bin\cltmng.exe','32');
 DeleteFile('C:\Program Files (x86)\Mozilla Firefox\firefox.url','32');
 DeleteFile('c:\progra~3\bitguard\271769~1.27\{c16c1~1\bitguard.dll','32');
 DeleteFile('c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','64');
 DeleteFile('C:\Windows\system32\Tasks\OptimizerPro1UpdaterTask{2F277397-9E05-4429-95B7-53D780D4A878}.job','64');
 DeleteFile('C:\Windows\system32\Tasks\schedule!3036567561.job','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64');
 DeleteFile('C:\Windows\system32\Tasks\OptimizerPro1UpdaterTask{2F277397-9E05-4429-95B7-53D780D4A878}','64');
 DeleteFile('C:\Windows\system32\Tasks\schedule!3036567561','64');
 DeleteFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32');
 DeleteFile('C:\ProgramData\Premium\OptimizerPro1\profile.ini','32');
 DeleteFile('C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe','32');
 DeleteFile('C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe','32');
 DeleteFile('c:\programdata\bettersoft\optimizerpro\3036567561.ini','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SearchProtect');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','SearchProtect');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','SearchProtect');
 DeleteFileMask('c:\programdata\bettersoft','*',true);
 DeleteFileMask('C:\ProgramData\Premium','*',true);
 DeleteFileMask('C:\Program Files (x86)\BonanzaDealsLive','*',true);
 DeleteFileMask('c:\progra~3\bitguard','*',true);
 DeleteFileMask('c:\users\user\appdata\roaming\searchprotect','*',true);
 DeleteDirectory('c:\programdata\bettersoft');
 DeleteDirectory('C:\ProgramData\Premium');
 DeleteDirectory('C:\Program Files (x86)\BonanzaDealsLive');
 DeleteDirectory('c:\progra~3\bitguard');
 DeleteDirectory('c:\users\user\appdata\roaming\searchprotect');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте лог AdwCleaner

**Сергей Дудник** · 02.12.2013, 01:08

Проблема пока что не решилась. Не знаю должна ли уже.

**Techno** · 02.12.2013, 10:40

- Удалите в AdwCleaner

- Очистите кеш и куки браузеров

- Повторите логи virusinfo_syscheck.zip и hijackthis.log.

**Сергей Дудник** · 02.12.2013, 17:43

Done.

**Techno** · 02.12.2013, 17:55

- Выполните в АВЗ:

Код:

begin
 TerminateProcessByName('c:\users\user\appdata\roaming\searchprotect\bin\cltmng.exe');
 DeleteFile('c:\users\user\appdata\roaming\searchprotect\bin\cltmng.exe','32');
 DeleteFile('C:\Users\user\AppData\Roaming\SearchProtect\bin\ChromeModule.dll','32');
 DeleteFile('C:\Users\user\AppData\Roaming\SearchProtect\bin\FirefoxModule.dll','32');
 DeleteFile('C:\Users\user\AppData\Roaming\SearchProtect\bin\InternetExplorerModule.dll','32');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SearchProtect');
 DeleteFile('C:\Users\user\AppData\Roaming\SearchProtect\bin\cltmng.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','64');
 DeleteFile('C:\Windows\system32\Tasks\OptimizerPro1UpdaterTask{2F277397-9E05-4429-95B7-53D780D4A878}.job','64');
 DeleteFile('C:\Windows\system32\Tasks\schedule!3036567561.job','64');
 DeleteFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32');
 DeleteFile('C:\ProgramData\Premium\OptimizerPro1\profile.ini','32');
 DeleteFile('C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe','32');
 DeleteFile('c:\programdata\bettersoft\optimizerpro\3036567561.ini','32');
 DeleteFile('C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe','32');
DeleteFileMask('C:\ProgramData\BetterSoft','*',true);
DeleteDirectory('C:\ProgramData\BetterSoft');
DeleteFileMask('C:\ProgramData\Premium','*',true);
DeleteDirectory('C:\ProgramData\Premium');
DeleteFileMask('C:\Program Files (x86)\BonanzaDealsLive','*',true);
DeleteDirectory('C:\Program Files (x86)\BonanzaDealsLive');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

- Повторите логи virusinfo_syscheck.zip и hijackthis.log.

**Сергей Дудник** · 03.12.2013, 02:14

Сделал

**Techno** · 03.12.2013, 18:06

АВЗ запускаете от имени администратора?

- Сделайте лог ComboFix.

**Сергей Дудник** · 04.12.2013, 00:57

Готово.
АВЗ в первый раз запускал двойным кликом. В последующие разы - от имени администратора.

**Techno** · 04.12.2013, 09:36

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:.

Код:

KillAll::

File::
c:\program files (x86)\SearchProtect\bin\cltmng.exe

Driver::


NetSvc::


Folder::
c:\program files (x86)\SearchProtect

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SearchProtect"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SearchProtectAll"=-
FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

**Сергей Дудник** · 05.12.2013, 02:49

Готово.

**Techno** · 05.12.2013, 22:55

Что с проблемами?

**Сергей Дудник** · 06.12.2013, 00:08

Без изменений. Так само перенаправляет с других браузеров при открытии через ярлык и так само открывает рекламную вкладку.

**Techno** · 06.12.2013, 00:25

- Повторите логи virusinfo_syscheck.zip и hijackthis.log.

**Сергей Дудник** · 10.12.2013, 00:00

Прошу прощения за задержку.
Вот, сделал.

**Techno** · 10.12.2013, 22:52

Проблема во всех браузерах?

Подключение через роутер?

**Сергей Дудник** · 11.12.2013, 00:45

Подключение через модем Zyxel p600.
Проблема только в браузере Opera, который задан как браузер по умолчанию.
При открытии других браузеров через ярлык, Опера с рекламной вкладкой открывается самостоятельно, а открытый другой браузер закрывается.
При открытии других браузеров через exe - все нормально. При открытии ссылок из посторонних программ (скайп, рейдколл, etc) Опера открывается без рекламных вкладок.

**mrak74** · 11.12.2013, 10:57

Смените браузер по умолчанию, установите любой другой, только не Opera.
Удалите, пересоздайте все ярлыки браузера Opera, для их обнаружения можно воспользоваться поиском Windows.

Код:

C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk

Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

**CyberHelper** · 11.12.2013, 11:07

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Открывает рекламную вкладку в браузере. (заявка № 150615)

Опции темы

Открывает рекламную вкладку в браузере.

Это понравилось:

Итог лечения

Похожие темы

Хром самопроизвольно открывает новую вкладку

Опера самопроизвольно открывает вкладку с рекламой http://www.ivi.ru/

Автоматом открывает вкладку с salesresourcepartners

проблема:браузер сам запускается и открывает вкладку с рекламой

Не открывает диспетчер задач, запуск возможен только через вкладку выполнить и зависание намертво после нажатия кнопки выключение пк в оболочке Windows

Метки для этой темы

Ваши права в разделе