Опера по щелчку открывает страницы с рекламой. [not-a-virus:Downloader.Win32.Agent.ddff ]

[mishka007]

Здравствуйте. По щелчку на открытой странице открываются сайты с рекламой.

[Info_bot]

Уважаемый(ая) mishka007, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('wijubire');
 SetServiceStart('serverjo', 4);
 DeleteService('serverjo');
 TerminateProcessByName('c:\users\mikle\appdata\roaming\46364331-1423992829-4633-4342-3946ffffffff\nsn38e4.tmp');
 QuarantineFile('c:\users\mikle\appdata\roaming\46364331-1423992829-4633-4342-3946ffffffff\nsn38e4.tmp','');
 TerminateProcessByName('c:\users\mikle\appdata\roaming\46364331-1423992829-4633-4342-3946ffffffff\josrv.exe');
 QuarantineFile('c:\users\mikle\appdata\roaming\46364331-1423992829-4633-4342-3946ffffffff\josrv.exe','');
 DeleteFile('c:\users\mikle\appdata\roaming\46364331-1423992829-4633-4342-3946ffffffff\josrv.exe','32');
 DeleteFile('c:\users\mikle\appdata\roaming\46364331-1423992829-4633-4342-3946ffffffff\nsn38e4.tmp','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[mishka007]

Сделал.

[thyrex]

Поместите в карантин МВАМ все, кроме

Код:

CrackTool.Agent, C:\Program Files\Hard Disk Sentinel\hard.disk.sentinel.pro-MPT.exe, , [c64c23f75436d16509706ed9a1608c74], 
Riskware.Keygen, D:\1\ACDSee Pro 7.0 Build 137 Final\Keygen\cr-acdsystems.exe, , [a56d60ba8ffb36002ecb82d4ce32bc44], 
RiskWare.Tool.CK, D:\1\Adobe Photoshop CS5.1\KeyGen.exe, , [d0425bbf4d3d0a2cd7ce905938c94cb4],

[mishka007]

Поместил. Ситуация не изменилась. Есть еще идеи?

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[mishka007]

Сделано.

[thyrex]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  HKLM\...\Run: [] => [X]
  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  HKU\S-1-5-21-854281802-574137295-2084089325-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
  SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
  SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
  SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
  SearchScopes: HKU\S-1-5-21-854281802-574137295-2084089325-1000 -> DefaultScope {673E1B49-37C6-4BFF-B54F-878883E7D7BA} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620AS_9QE0ZXMHXXXX9QE0ZXMH&ts=1424021465&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-854281802-574137295-2084089325-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620AS_9QE0ZXMHXXXX9QE0ZXMH&ts=1424021465&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-854281802-574137295-2084089325-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620AS_9QE0ZXMHXXXX9QE0ZXMH&ts=1424021465&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-854281802-574137295-2084089325-1000 -> {673E1B49-37C6-4BFF-B54F-878883E7D7BA} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620AS_9QE0ZXMHXXXX9QE0ZXMH&ts=1424021465&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-854281802-574137295-2084089325-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620AS_9QE0ZXMHXXXX9QE0ZXMH&ts=1424021465&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-854281802-574137295-2084089325-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620AS_9QE0ZXMHXXXX9QE0ZXMH&ts=1424021465&type=default&q={searchTerms}
  2015-02-15 20:30 - 2015-02-15 20:30 - 00000000 ____D () C:\Users\Mikle\AppData\Roaming\key-find
  2015-02-15 09:43 - 2015-02-15 09:43 - 00000000 ____D () C:\Users\Mikle\AppData\Roaming\ppslog
  2015-02-15 09:37 - 2015-02-15 09:37 - 00000000 ____D () C:\Users\Все пользователи\Tencent
  2015-02-15 09:37 - 2015-02-15 09:37 - 00000000 ____D () C:\Users\Mikle\AppData\Roaming\Tencent
  2015-02-15 09:37 - 2015-02-15 09:37 - 00000000 ____D () C:\ProgramData\Tencent
  2015-02-15 09:37 - 2015-02-15 09:37 - 00000000 ____D () C:\Program Files\Tencent
  2015-02-15 09:37 - 2015-02-15 09:37 - 00000000 ____D () C:\Program Files\Common Files\Tencent
  2015-02-15 09:34 - 2015-02-15 09:41 - 00000000 ____D () C:\Users\Mikle\AppData\Roaming\IQIYI Video
  2015-02-15 09:34 - 2015-02-15 09:34 - 00000000 ____D () C:\Users\Public\QiYi
  2015-02-15 09:33 - 2015-02-17 17:49 - 00000000 ____D () C:\Users\Mikle\AppData\Roaming\46364331-1423992829-4633-4342-3946FFFFFFFF
  2015-02-15 09:32 - 2015-02-15 09:51 - 00000000 ____D () C:\Program Files\Application Assistance
  2015-02-15 09:32 - 2015-02-15 09:39 - 00000000 ____D () C:\Users\Mikle\AppData\Roaming\Torrent Search
  Task: {34BB41F0-B769-489C-BB20-8BF9F683B0B0} - System32\Tasks\SystemScript => C:\Users\Mikle\AppData\Local\Microsoft\Windows\toolbar.exe
  AlternateDataStreams: C:\ProgramData\Temp:BFE54417
  AlternateDataStreams: C:\Users\Все пользователи\Temp:BFE54417
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[mishka007]

Лог готов.

[thyrex]

что с проблемой?

[mishka007]

Проблема после манипуляций осталась. Задолбало - грохнул оперу. Вроде нормально стало. Тестирую.

[mike 1]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

[mishka007]

Запустить не удалось. Выскакивает такая ошибка.

[mike 1]

Попробуйте перекачать утилиту.

[mishka007]

Все равно не выходит ее запустить.

[mike 1]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера

[mishka007]

Уязвимостей не обнаружено. Всем СПАСИБО.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\mikle\appdata\roaming\46364331-1423992829-4633-4342-3946ffffffff\josrv.exe - not-a-virus:Downloader.Win32.Agent.ddff