В браузерах (опера, хром) самостоятельно открываются вкладки с рекламой

**Владимир Власюк** · 15.10.2015, 22:09

При попытке поставить курсор в поле для ввода текста или при переходе по ссылкам, время от времени выскакивает новая вкладка с рекламой (как правило сайт FAVBET).
Плюс в нижнем левом углу иногда выскакивает рекламка в виде "Новое сообщение".
Стоит НОД, обновляется. Выполнена проверка при помощи cureit, все чисто.
Нужна помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.10.2015, 22:11

Уважаемый(ая) Владимир Власюк, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Владимир Власюк** · 15.10.2015, 23:52

логи

**thyrex** · 16.10.2015, 21:21

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\DOCUME~1\3BA0~1\LOCALS~1\Temp\h01cr9jl.exe','');
 QuarantineFile('C:\Documents and Settings\Оленька\0.08164708013418887.exe','');
 QuarantineFile('C:\Documents and Settings\Оленька\Application Data\Microsoft\taskhost.exe','');
 QuarantineFile('C:\Documents and Settings\Оленька\Application Data\netprotocol.exe','');
 DeleteFile('C:\Documents and Settings\Оленька\Application Data\netprotocol.exe','32');
 DeleteFile('C:\Documents and Settings\Оленька\Application Data\Microsoft\taskhost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Taskhost','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Netprotocol','command');
 DeleteFile('C:\Documents and Settings\Оленька\0.08164708013418887.exe','32');
 DeleteFile('C:\DOCUME~1\3BA0~1\LOCALS~1\Temp\h01cr9jl.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\cfnib7hrr.job','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

**Владимир Власюк** · 16.10.2015, 22:16

Спасибо за ответ! Карантин выслал, делаю логи.

- - - - -Добавлено - - - - -

Новые логи:

**thyrex** · 16.10.2015, 23:16

Сделайте лог полного сканирования МВАМ

**Владимир Власюк** · 18.10.2015, 15:26

лог МВАМ

**thyrex** · 19.10.2015, 20:55

Удалите в МВАМ только

Код:

Trojan.Proxy, HKLM\SOFTWARE\CLASSES\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}, , [ec7da7b12a61f640cc5ac53f5ba7718f], 
Trojan.Proxy, HKLM\SOFTWARE\CLASSES\DirectX11.DynamicNS, , [ec7da7b12a61f640cc5ac53f5ba7718f],

**Владимир Власюк** · 19.10.2015, 21:31

Удалил, буду наблюдать. По результатам напишу.
Спасибо.

**thyrex** · 20.10.2015, 20:21

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

**Владимир Власюк** · 20.10.2015, 21:11

После удаления двух предложенных строк в МВАМ, проблема с рекламой осталась.
Прилагаю отчеты FRST:

**thyrex** · 20.10.2015, 23:28

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKU\S-1-5-21-1292428093-1202660629-682003330-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://hptds7.ru/
FF Extension: No Name - C:\Documents and Settings\Оленька\Application Data\Mozilla\Firefox\Profiles\55lq0kaa.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Documents and Settings\Оленька\Application Data\Mozilla\Firefox\Profiles\55lq0kaa.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Documents and Settings\Оленька\Application Data\Mozilla\Firefox\Profiles\55lq0kaa.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Documents and Settings\Оленька\Application Data\Mozilla\Firefox\Profiles\55lq0kaa.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-07-23]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:76650B61
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:C40C2DC4
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:EF6E4E62
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

**Владимир Власюк** · 21.10.2015, 21:10

Fixlog

**Владимир Власюк** · 22.10.2015, 22:13

Еще я заметил что при открытии многих сайтов некоторые слова ("телефон", "смартфон", "кредит", "слот") меняются на ссылки, которые ведут опять же на рекламу.

**Владимир Власюк** · 24.10.2015, 19:36

Переустановил браузеры, вирус пока не проявляется.

**CyberHelper** · 24.10.2015, 19:46

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 8
В ходе лечения вредоносные программы в карантинах не обнаружены

В браузерах (опера, хром) самостоятельно открываются вкладки с рекламой (заявка № 191356)

Опции темы