Вирусы

[Askold_Vespa]

Здравствуйте. Прошу у вас помощи. У меня появились вирусы в браузере, которые постоянно открывают различные вкладки.
Раньше такие вирусы я мог удалить самостоянно, но сейчас почему-то не могу...
По-моему, больше проблем нету.
UPD: Антивирус Аваст, а также утилиты (CCleaner, IObit Uninstaller) не могут мне с этим помочь

[Info_bot]

Уважаемый(ая) Askold_Vespa, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 StopService('ContentProtectorDrv');
 StopService('protectiondrvr');
 QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '');
 QuarantineFile('C:\Users\ASKOLD~1\AppData\Local\Temp\nsdFCEB.tmp.sys', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 QuarantineFile('C:\Users\Askold_Vespa\AppData\Local\Hostinstaller\3360132372_monster.exe', '');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\QQPCRTP.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '32');
 DeleteFile('C:\Users\ASKOLD~1\AppData\Local\Temp\nsdFCEB.tmp.sys', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\QMUdisk.sys', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\QQSysMon.sys', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\softaal.sys', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMGR\Plugins\SRepairDrv', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\TS888.sys', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\TSKsp.sys', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\TsNetHlp.sys', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 DeleteFile('C:\Users\Askold_Vespa\AppData\Local\Amigo\Application\vk.exe', '32');
 DeleteFile('C:\Users\Askold_Vespa\AppData\Local\Amigo\Application\amigo.exe', '32');
 DeleteFile('C:\Users\Askold_Vespa\AppData\Local\Amigo\Application\ok.exe', '32');
 DeleteFile('C:\Users\Askold_Vespa\AppData\Local\Hostinstaller\3360132372_monster.exe', '32');
 DeleteService('QQPCRTP');
 DeleteService('ContentProtectorDrv');
 DeleteService('protectiondrvr');
 DeleteService('QMUdisk');
 DeleteService('QQSysMon');
 DeleteService('softaal');
 DeleteService('SRepairDrv');
 DeleteService('TS888');
 DeleteService('TSKSP');
 DeleteService('tsnethlp');
 DeleteFileMask('c:\program files\tencent', '*', true);
 DeleteFileMask('c:\users\askold_vespa\appdata\local\amigo', '*', true);
 DeleteFileMask('c:\users\askold_vespa\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\program files\tencent');
 DeleteDirectory('c:\users\askold_vespa\appdata\local\amigo');
 DeleteDirectory('c:\users\askold_vespa\appdata\local\hostinstaller');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Phoenix Browser Updater" /F', 0, 15000, true);
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteRepair(3);
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Сделайте новый лог Autologger, держите клавишу Shift при нажатии на Ok после запуска программы.

Сделайте лог Malwarebytes AdwCleaner.

[Askold_Vespa]

" Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Сделайте новый лог Autologger, держите клавишу Shift при нажатии на Ok после запуска программы.
Сделайте лог Malwarebytes AdwCleaner. "

Всё это выполнил и по-вставлял.

"В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме."
Вставил как карантин.

я не уверен, но надеюсь, что всё правильно сделал. Извините, если что-то неправильно.

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[Askold_Vespa]

Вот отчёт AdwCleaner.
Очистил кэш браузера, историю , и coockies-файлы.
Была возникла проблема с интернетом.., не знал в чём дело... Где-то через 2 часа когда включил комп инет уже был.

Хочу спросить, что делать, нажать "Reset all settings" (Востановить настройки)
Или просто закрыть ?
я не долго сижу за ПК, но сайты пока-что не открываются (наверное и не будут - спасибо огромное)

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Askold_Vespa]

Отправляю новые отчеты.

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-21-816756082-129882184-2810921808-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ovgorskiy.ru
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> D:\IObit Uninstaller\UninstallExplorer.dll => No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=818409
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BBAB49BDA-31B8-4A2A-839E-615B59A0D486%7D&gp=811041
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Askold_Vespa\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-12-04]
FF Extension: (No Name) - C:\Users\Askold_Vespa\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-12-04] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Askold_Vespa\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-04]
CHR Extension: (Tampermonkey) - C:\Users\Askold_Vespa\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-04]
CHR Extension: (GoTouring) - C:\Users\Askold_Vespa\AppData\Local\Google\Chrome\User Data\Default\Extensions\eemilchbjlpgmmhdegeighjjljacmlbm [2016-12-15]
CHR Extension: (Tampermonkey) - C:\Users\Askold_Vespa\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-05]
CHR HKU\S-1-5-21-816756082-129882184-2810921808-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (Tampermonkey) - C:\Users\Askold_Vespa\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-04]
OPR Extension: (The Safe Surfing) - C:\Users\Askold_Vespa\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-12-16]
OPR Extension: (GoTouring) - C:\Users\Askold_Vespa\AppData\Roaming\Opera Software\Opera Stable\Extensions\lbgldchagohanjpkngdkbajipihoboai [2016-12-15]
OPR Extension: (Teddy Protection Lite) - C:\Users\Askold_Vespa\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-02-08]
OPR Extension: (Youtube Nice Look) - C:\Users\Askold_Vespa\AppData\Roaming\Opera Software\Opera Stable\Extensions\pdaepkmfgifoghfjmkelllldadamfnjb [2016-09-24]
S2 ihctrl32; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 wsaudio; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
2016-03-28 00:30 - 2016-03-28 00:30 - 0005120 _____ () C:\Users\Askold_Vespa\AppData\Roaming\GiftBag.db
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой. Если не поможет - делайте сброс настроек Chrome/

[Askold_Vespa]

Проблемы больше нет. Огромное спасибо!)

[Vvvyg]

Запустите AdwCleaner и нажмите Файл -> Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения вредоносные программы в карантинах не обнаружены