Добрый день.
Вирус (или что то другое) открывает вкладки с рекламой/порно/и т.д.
Происходит это за частую при переходе по нужным мне (надежным) ссылкам, либо при клике на любой точке сайта/почты и т.д.
Добрый день.
Вирус (или что то другое) открывает вкладки с рекламой/порно/и т.д.
Происходит это за частую при переходе по нужным мне (надежным) ссылкам, либо при клике на любой точке сайта/почты и т.д.
Уважаемый(ая) VDLEE, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скажите, а какой карантин просит загрузить кликабельное сообщение красным цветом?
Вроде по инструкции то что надо прикрепил
Удалите программу BlueStacks штатными средствами Windows.
Временно отключите защитное ПО.
Выполните скрипт AVZ.
Компьютер перезагрузится.Код:begin SetAVZPMStatus(True); SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\TNOD\TNODUP.exe',''); DelCLSID('{89820200-ECBD-11cf-8B85-00AA005B4340}'); DelCLSID('{2C7339CF-2B09-4501-B3F3-F3508C9228ED}'); DeleteFile('C:\Users\Вячеслав\Favorites\Links\Интернет.url','32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\8GadgetPack\Website.lnk','32'); DeleteFile('C:\Users\Вячеслав\Desktop\Tools\Обновить лицензию NOD32.lnkl','32'); DeleteFile('C:\TNOD\TNODUP.exe','32'); DeleteFile('C:\Users\Вячеслав\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.speedsoftware.rootexplorer.lnk','32'); DeleteFile('C:\ProgramData\BlueStacks\UserData\TileData\000008\Launcher.vbs','32'); DeleteFile('C:\Users\Вячеслав\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.kingroot.kinguser.lnk','32'); DeleteFile('C:\ProgramData\BlueStacks\UserData\TileData\000012\Launcher.vbs','32'); DeleteFile('C:\Users\Вячеслав\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.facebook.katana.lnk','32'); DeleteFile('C:\ProgramData\BlueStacks\UserData\TileData\000015\Launcher.vbs','32'); DeleteFile('C:\Users\Вячеслав\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.shield.inf.lnk','32'); DeleteFile('C:\ProgramData\BlueStacks\UserData\TileData\000002\Launcher.vbs','32'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); ExecuteWizard('SCU',2,2,true); BC_Activate; RebootWindows(true); end.
Выполните скрипт AVZ.
Пришлите архив карантина из папки AVZ.Код:begin CreateQurantineArchive(GetAVZDirectory +'quarantine.zip'); end.
Сделайте новые логи программой Autologger и пришлите их.
Сделайте лог утилитой AdwCleaner и пришлите его.
Есть кто смог бы помочь моему "горю"?
- - - - -Добавлено - - - - -
Неужели никого нет?
Вложение просмотрено два раза, но никакого ответа, народ, подсобите с проблемой.
Последний раз редактировалось VDLEE; 25.04.2017 в 15:25.
Сделано. отчеты прилагаю:
Последний раз редактировалось regist; 26.04.2017 в 14:03. Причина: карантин во вложение
1. Удалите программу PCCleaner Pro штатными средствами Windows.
2. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из последних логов на ClearLNK как показано на рисунке
* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.
3. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
PCCleaner Pro не найден в списке "Программы и компоненты"
Остальные логи прилагаю:
1. Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis
2. Выполните скрипт AVZ.Код:O4 - HKCU\..\StartupApproved\Run: [BlueStacks Agent] (2016/05/27)C:\Program Files\BlueStacks\HD-Agent.exe (file missing) O22 - Task (Ready): PCCleaner-Maintenance-Autorun - C:\ProgramData\PCCleaner Pro\PCCleaners.exe /minimize (file missing)
Перезагрузите компьютер вручную.Код:begin DeleteFile('C:\Program Files\BlueStacks\HD-Agent.exe','64'); DeleteFileMask('C:\Program Files\BlueStacks','*',true); DeleteDirectory('C:\Program Files\BlueStacks'); DeleteFile('C:\ProgramData\PCCleaner Pro\PCCleaners.exe','64'); DeleteFileMask('C:\ProgramData\PCCleaner Pro','*',true); DeleteDirectory('C:\ProgramData\PCCleaner Pro'); ExecuteFile('schtasks.exe', '/delete /TN "PCCleaner-Maintenance-Autorun" /F', 0, 15000, true); ExecuteSysClean; ExecuteWizard('TSW',2,3,true); end.
3.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-2047016008-1866537745-3107427594-1001\...\Run: [BlueStacks Agent] => C:\Program Files\BlueStacks\HD-Agent.exe HKU\S-1-5-21-2047016008-1866537745-3107427594-1001\...\Run: [AdobeBridge] => [X] GroupPolicy: Restriction ? <======= ATTENTION GroupPolicy\User: Restriction ? <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION FF HKU\S-1-5-21-2047016008-1866537745-3107427594-1001\...\SeaMonkey\Extensions: [[email protected]] - C:\Users\Вячеслав\AppData\Roaming\IDM\idmmzcc5 FF Extension: (IDM CC) - C:\Users\Вячеслав\AppData\Roaming\IDM\idmmzcc5 [2017-04-26] [not signed] CHR HKLM\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh] - hxxps://clients2.google.com/service/update2/crx R2 Net Driver HPZ12; C:\Windows\system32\HPZinw12.dll [45568 2014-11-17] (Hewlett-Packard) [File not signed] R2 Pml Driver HPZ12; C:\Windows\system32\HPZipm12.dll [55808 2014-11-17] (Hewlett-Packard) [File not signed] S3 SwitchBoard; C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated) [File not signed] S3 WsDrvInst; C:\Program Files\Wondershare\MirrorGo\DriverInstall.exe [X] S3 ute3mjk3; C:\Windows\system32\Drivers\ute3mjk3.sys [7168 2017-04-26] () [File not signed] S3 MBAMFarflt; \??\C:\Windows\system32\drivers\farflt.sys [X] S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X] S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X] 2017-04-21 13:20 - 2017-04-21 17:49 - 00000000 ____D C:\Users\Все пользователи\PCProSettingsLocal 2017-04-21 13:20 - 2017-04-21 17:49 - 00000000 ____D C:\ProgramData\PCProSettingsLocal 2017-04-25 10:21 - 2016-05-27 13:29 - 00000000 ____D C:\Users\Все пользователи\BlueStacksSetup 2017-04-25 10:21 - 2016-05-27 13:29 - 00000000 ____D C:\ProgramData\BlueStacksSetup 2017-04-25 10:22 - 2017-04-25 10:22 - 0061440 _____ () C:\Users\Вячеслав\AppData\Local\Temp\56n-8nmz.dll 2017-04-26 09:34 - 2017-03-03 22:38 - 0897560 _____ (BlueStack Systems, Inc.) C:\Users\Вячеслав\AppData\Local\Temp\HD-Common.dll 2017-04-26 09:34 - 2017-03-03 22:39 - 0516120 _____ (BlueStack Systems, Inc.) C:\Users\Вячеслав\AppData\Local\Temp\HD-InstallerUtils.dll 2017-04-26 09:34 - 2017-03-03 22:29 - 0187416 _____ (BlueStack Systems) C:\Users\Вячеслав\AppData\Local\Temp\HD-LibraryHandler.dll 2017-04-26 09:34 - 2017-03-03 22:27 - 0246808 _____ (BlueStack Systems) C:\Users\Вячеслав\AppData\Local\Temp\HD-Logger-Native.dll 2017-04-26 09:34 - 2017-03-03 22:38 - 0426008 _____ (BlueStack Systems, Inc.) C:\Users\Вячеслав\AppData\Local\Temp\HD-Uninstaller.exe 2017-04-25 10:22 - 2017-04-25 10:22 - 0061440 _____ () C:\Users\Вячеслав\AppData\Local\Temp\mdvkqxum.dll C:\Windows\explorer.exe => File is digitally signed C:\Windows\system32\winlogon.exe => File is digitally signed C:\Windows\system32\wininit.exe => File is digitally signed C:\Windows\system32\svchost.exe => File is digitally signed C:\Windows\system32\services.exe => File is digitally signed C:\Windows\system32\User32.dll => File is digitally signed C:\Windows\system32\userinit.exe => File is digitally signed C:\Windows\system32\rpcss.dll => File is digitally signed C:\Windows\system32\dnsapi.dll => File is digitally signed C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed HKU\S-1-5-21-2047016008-1866537745-3107427594-1001\...\StartupApproved\Run: => "BlueStacks Agent" FirewallRules: [{0CFC5FF7-091E-40EB-A7ED-92CD26D7E57E}] => (Allow) C:\ProgramData\BlueStacksGameManager\OBS\HD-OBS.exe FirewallRules: [{42EDF09A-E54C-419C-86AC-E9FBE1340DF7}] => (Allow) C:\ProgramData\BlueStacksGameManager\OBS\HD-OBS.exe EmptyTemp:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Выполнено, за исключением:1. Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis
Это не найдено (скрин в приложении)Код:O22 - Task (Ready): PCCleaner-Maintenance-Autorun - C:\ProgramData\PCCleaner Pro\PCCleaners.exe /minimize (file missing)
============
Выполнено2. Выполните скрипт AVZ.
Перезагрузите компьютер вручную.
Выполнено, лог в приложении3.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
- - - - -Добавлено - - - - -
Извините за оффтоп, но хотел бы узнать причину задержки появления сообщений с Вашей стороны. Вчера вы (судя по времени сообщения) ответили мне в 14:00, хотя я до вечера (до 18:00 точно) мониторил данную тему, но сообщения Вашего не увидел. Может есть необходимость закрывать сайт и заходить заново?
Заранее спасибо за ответ
К сожалению проблема все еще осталась
- - - - -Добавлено - - - - -
Уважаемые помощники, все понимаю, загруженность, личная жизнь, и т.п. но 4 дня на проблемку..., даже я, будучи чайником считаю что слишком много. в соседних темах аналогичные проблемы (судя по описанию) решаются в 1-2 дня. Премного благодарен за внимание к данному сообщению.
- - - - -Добавлено - - - - -
Поведение вируса изменилось, теперь он не открывает новые вкладки, а переходит на сайты с рекламой на текущей вкладке.
Новый лог FRST.txt сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано, отчет прилагаю
- - - - -Добавлено - - - - -
Ко всему прочему заметил среди процессов немалое количество svchost файлов (около 14 шт). Скрин прилагаю
Так же заметил минимум 3 процесса COM Surrogate, из которых остается только 1 после открытия диспетчера задач. Заскринить все таки успел, прилагаю.
не знаю связано ли это с моей основной проблемой, с которой я обратился к Вам. но все же.
- - - - -Добавлено - - - - -
Из личных наблюдений - реклама запускается каждые 20 минут (судя по истории браузера)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день
Отключил расширения, и как ни странно. проблема исчезла, НО любопытства ради включил все расширения снова, и проблемы так же нет
Из всего что есть в расширениях:
-Foxit PDF Creator 8.2.0.2
-Google Презентации 0.9
-Google Таблицы 1.1
-Google Документы Офлайн 1.4
-IDM Integration Module 6.28.7
-Документы Google
А нет, проблема осталась
Вновь отключил все расширения, жду. о результатах наблюдения сообщу через 1-1,5 часа
- - - - -Добавлено - - - - -
с отключенными расширениями проблемы нету.
Последний раз редактировалось VDLEE; 01.05.2017 в 09:08.
Спасибо всем за помощь. не нужные расширения удалил.
Скорее всего дело было в каком-то из подмененных расширений от Google
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
- Загрузите SecurityCheck by glax24 (в ссылке на скачивание уберите лишние пробелы) и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Скопируйте содержимое файла в свое следующее сообщение.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) VDLEE, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.