Реклама в браузерах, ярлыки мейла на рабочем столе.

**Techno_Viking** · 26.05.2017, 13:16

Здравствуйте. На компьютере был запущен exe файл с вирусом. В диспетчере висят лишние процессы. В браузерах, в поисковиках по умолчанию, устанавливается мейл.ру. Периодически запускается браузер Firefox с рекламой. После чистки компьютера adwcleaner вирусные файлы восстанавливаются. Помогите удалить вирус.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.05.2017, 13:19

Уважаемый(ая) Techno_Viking, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Techno_Viking** · 30.05.2017, 22:23

Вирус установил браузер амиго, вконтакте, одноклассники и т.д. Почистил компьютер программой Malwarebytes (нашла 266 вирусов). Браузер все так же открывает вкладки с рекламой. Выкладываю последний лог:CollectionLog-2017.05.30-21.54.zip

**Vvvyg** · 01.06.2017, 22:29

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Subversion\TortoiseSVN.dll', '');
 DeleteFile('C:\WINDOWS\Tasks\MSI.job', '32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '32');
 DeleteFile('C:\Documents and Settings\All Users\Избранное\Mail.Ru.url', '32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Subversion\TortoiseSVN.dll', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{CBF88FC2-F150-4F29-BC80-CE30EFD1B62C}');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(23);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Techno_Viking** · 02.06.2017, 09:46

Карантин отправлен. Логи:

**Vvvyg** · 02.06.2017, 20:30

Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\ DisallowedCertificates: 1916A2AF346D399F50313C393200F14140456616 (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 305F8BD17AA2CBC483A4C41B19A39A0C75DA39D6 (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 471C949A8143DB5AD5CDF1C972864A2504FA23C9 (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 61793FCBFA4F9008309BBA5FF12D2CB29CD4151A (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 637162CC59A3A1E25956FA5FA8F60D2E1C52EAC6 (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 63FEAE960BAA91E343CE2BD8B71798C76BDB77D0 (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 6431723036FD26DEA502792FA595922493030F97 (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 7D7F4414CCEF168ADF6BF40753B5BECD78375931 (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 80962AE4D6C5B442894E95A13E4A699E07D694CF (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: CEA586B2CE593EC7D939898337C57814708AB2BE (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: D018B62DC518907247DF50925BB09ACF4A5CB3AD (Avast Antivirus/Software) <==== ATTENTION
ShellIconOverlayIdentifiers: [TortoiseOverlay] -> {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} => C:\Documents and Settings\Admin\Application Data\Subversion\TortoiseSVN.dll -> No File
CHR HomePage: Default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=5AD21650D642DE5B5E1B59E84F5E36C1&utm_d=20170526
CHR StartupUrls: Default -> "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=5AD21650D642DE5B5E1B59E84F5E36C1&utm_d=20170526"
CHR NewTab: Default -> "chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html" 
CHR DefaultSearchURL: Default -> hxxp://styanure.ru/?utm_source=pinnedtabs03&utm_content=a255b5fcd025c96ef265fa4f61f63784&utm_term=5AD21650D642DE5B5E1B59E84F5E36C1&utm_d=20170529
OPR Extension: (SaveFrom.net помощник) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2017-05-23]
FF Extension: (SaveFrom.net helper) - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\2kj6c1g0.default\Extensions\[email protected] [2017-05-24]
2017-05-29 15:40 - 2017-05-29 15:40 - 00064768 _____ (NetFilterSDK.com) C:\WINDOWS\system32\Drivers\1MlFGsvUOvoa.sys
2013-10-03 01:59 - 2006-01-09 19:32 - 2322432 _____ (Macromedia, Inc.) C:\Program Files\FlashPlayer.exe
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-500_Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}\InprocServer32 -> no filepath
lternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:8075370B [167]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:D287FACF [102]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:D3A96964 [138]
DomainProfile\AuthorizedApplications: [c:\program files\common files\tencent\qqdownload\125\tencentdl.exe] => Enabled:腾讯产品下载组件
StandardProfile\AuthorizedApplications: [c:\program files\common files\tencent\qqdownload\125\tencentdl.exe] => Enabled:腾讯产品下载组件
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo\Application\amigo.exe] => Enabled:Амиго
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

**Techno_Viking** · 03.06.2017, 00:44

Firefox работает нормально. В опере несмотря на очистку куки и кеша открывается реклама (https://start.parimatchnew9.com/ru/b...=a_9254b_684c_,https://plaff-go.ru/click/nb2aoek0/?...9&campaignID=1), если переходить по ссылкам.

**Vvvyg** · 04.06.2017, 09:13

Отключите Adblock Plus в Опере, и другие расширения, если установлены.

**Techno_Viking** · 05.06.2017, 19:52

Спасибо за помощь, проблема решена.

**Vvvyg** · 05.06.2017, 20:13

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 05.06.2017, 20:23

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения вредоносные программы в карантинах не обнаружены

Реклама в браузерах, ярлыки мейла на рабочем столе. (заявка № 212465)

Опции темы