Опера открывает нежелательные сайты [UDS:DangerousObject.Multi.Generic ]

[Domien]

Здравствуйте,опера открывает сайты Time to read,казино вулкан и другие сайты,стало много рекламы на страницах,компьютер стал немного медленее работать

[Info_bot]

Уважаемый(ая) Domien, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[trueCrypt]

1. Выполните скрипт AVZ:

Код:

begin
StopService('Ea3Host');
DeleteService('Ea3Host');
 TerminateProcessByName('c:\users\Артем\appdata\roaming\enigma software group\sh_installer.exe');
 TerminateProcessByName('C:\Windows\System32\Ea3Host.exe');
 QuarantineFile('C:\Users\328F~1\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat','');
 QuarantineFile('C:\Users\Артем\appdata\roaming\curl\curl_7_54.exe','');
 QuarantineFile('C:\Users\Артем\AppData\Local\yc\Application\yc.exe','');
 QuarantineFile('C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe','');
 QuarantineFile('c:\users\Артем\appdata\roaming\enigma software group\sh_installer.exe','');
 QuarantineFile('C:\Windows\System32\Ea3Host.exe','');
 DeleteFile('C:\Users\328F~1\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat','32');
 DeleteFile('C:\Windows\System32\Ea3Host.exe','32');
 DeleteFile('c:\users\Артем\appdata\roaming\enigma software group\sh_installer.exe','32');
 //DeleteFile('C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys','32');
 DeleteFile('C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe','32');
 DeleteFile('C:\Users\Артем\AppData\Local\yc\Application\yc.exe','32');
 DeleteFile('C:\Users\Артем\appdata\roaming\curl\curl_7_54.exe','32');
 DeleteFileMask('C:\Users\Артем\AppData\Local\yc','*',true);
 DeleteFileMask('C:\Users\Артем\appdata\roaming\curl','*',true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nsnrijpqeq','command');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine  .zip');
end.

В папке с AVZ появится архив карантина - quarantine.zip. Прикрепите его по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.


2. Пофиксить в HijackThis следующие строчки:

Код:

O4 - MSConfig\startupreg: [Realtek_HD_Audio_Driver] C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe  (file missing) (HKCU) (2017/09/07)
O4 - MSConfig\startupreg: [nsnrijpqeq] C:\Windows\explorer.exe "http://epsinve.ru/?utm_source=uoua03&utm_content=4d0eb7bd664500cadb96689ee0cf3a1c&utm_term=59E90831D63D5C257DF64115636FD608&utm_d=20170907" (HKCU) (2017/09/07)
O4 - MSConfig\startupreg: [ycAutoLaunch_68699A97CE4C312F95E3C2FEA0A9A51E] C:\Users\Артем\AppData\Local\yc\Application\yc.exe /prefetch:5 (HKCU) (2017/09/07)
O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 82.202.226.203
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

3. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.


4. Подготовьте и прикрепите лог сканирования Malwarebytes AdwCleaner

5. Повторите логи согласно правилам и прикрепите их следующим сообщением.

[Domien]

Карантин отправил,все сделал по инструкции

[trueCrypt]

Не прикрепили новые логи.

5. Повторите логи согласно правилам и прикрепите их следующим сообщением.

Что с проблемой?

[Domien]

Опера все так же открывает не желательные сайты
вот новые логи

[trueCrypt]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.


3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Domien]

вот архив

[trueCrypt]

1.Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=59E90831D63D5C257DF64115636FD608&utm_d=20170907"
FF HKU\S-1-5-21-1026869792-3129990513-3949884669-1000\...\Firefox\Extensions: [[email protected]] - C:\Users\Артем\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
FF Plugin HKU\S-1-5-21-1026869792-3129990513-3949884669-1000: @acestream.net/acestreamplugin,version=3.1.12.1 -> C:\Users\Артем\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
Task: {5A593550-94F9-4202-9243-4F13E0C8F470} - \Windows_Antimalware_Host -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end::

Cохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.


2.Если после выполнения 1 пункта опера продолжит открывать нежелательные сайты, отключите все расширения в Opera, если проблема пропадет, включайте по одному и проверяйте эффект.
Просьба сообщить по результатам.

[Domien]

спасибо большое,помогло!!!оказывается все дело в расширении было,откючил его

[trueCrypt]

Отлично! Какое именно расширение вызывало проблемы?

На этом все.

В завершение:

Рекомендую выполнить скрипт AVZ для поиска уязвимостей:
Внимание! Скрипт необходимо выполнять при наличие доступа в интернет.

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

По завершению его работы, если будут обнаружены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

А так же, ознакомиться с:
Советы и рекомендации после лечения компьютера.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\артем\appdata\local\yc\application\yc.exe - UDS:DangerousObject.Multi.Generic