Баннеры в браузерах

[strelf1]

Здравствуйте! У меня проблема. В хроме и файрфоксе почти на всех страницах выскакивают баннеры-ссылки, а при открытии новой вкладки стала открываться левая страница (выглядит как поисковик, в урле домен alphashoppers точка co).

Почистил вирусы через CureIt, вручную задал настройки в хроме (установил для стартовой страницы гугл, снёс все нежелательные расширения). Вирусы не обнаруживает, настройки браузера якобы остаются нужными, но по факту поведение не изменилось - всё та же ерунда и с баннерами, и со стартовой.

Скачал последнюю версиюю AutoLogger, запустил. Прилагаю архив логов по итогам сканирования.

[Info_bot]

Уважаемый(ая) strelf1, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{74BB7EA0-E383-419E-AFCC-0A2CCBDEFAD6}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{74BB7EA0-E383-419E-AFCC-0A2CCBDEFAD6}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{9305AF14-74D4-45A5-A8BD-72F211694179}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{9305AF14-74D4-45A5-A8BD-72F211694179}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{B45BBB0D-4740-419E-ABC7-AA118977EB7B}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{B45BBB0D-4740-419E-ABC7-AA118977EB7B}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2797D34-9911-48DC-B3CF-404925A49EAC}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2797D34-9911-48DC-B3CF-404925A49EAC}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{74BB7EA0-E383-419E-AFCC-0A2CCBDEFAD6}: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{74BB7EA0-E383-419E-AFCC-0A2CCBDEFAD6}: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9305AF14-74D4-45A5-A8BD-72F211694179}: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9305AF14-74D4-45A5-A8BD-72F211694179}: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{B45BBB0D-4740-419E-ABC7-AA118977EB7B}: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{B45BBB0D-4740-419E-ABC7-AA118977EB7B}: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{F2797D34-9911-48DC-B3CF-404925A49EAC}: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{F2797D34-9911-48DC-B3CF-404925A49EAC}: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
 QuarantineFile('C:\PROGRA~3\620bdb86\2e9fd7ff.dll', '');
 QuarantineFile('C:\Users\Strel\AppData\Local\879F87~1\{2E9FD~1', '');
 QuarantineFile('C:\Users\Strel\AppData\Local\879F87~1\{2E9FD~1.', '');
 DeleteFile('C:\PROGRA~3\620bdb86\2e9fd7ff.dll', '32');
 DeleteFile('C:\Users\Strel\AppData\Local\879F87~1\{2E9FD~1', '32');
 DeleteFile('C:\Users\Strel\AppData\Local\879F87~1\{2E9FD~1.', '32');
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{797E0447-0C0B-0F0F-0F11-087E7E091109}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{8BE70333-4BB5-5C86-3223-674D5F311E3A}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "D7A02800-F8F4-8B43-00D8-1F22A3382EFA" /F', 0, 15000, true);
 DeleteFileMask('c:\progra~3\620bdb86', '*', true);
 DeleteFileMask('c:\users\strel\appdata\local\879f87~1', '*', true);
 DeleteDirectory('c:\progra~3\620bdb86');
 DeleteDirectory('c:\users\strel\appdata\local\879f87~1');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

Сделайте лог Malwarebytes AdwCleaner.

[strelf1]

Здравствуйте! Спасибо, после рекомендованных вами действий проблема ушла. Карантинный файл приложил к теме. Лог AdwCleaner прилагаю.

[Vvvyg]

Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

А это?

[strelf1]

Это сделал, но, видимо, неправильно, т.к. не понял, где там Ок после запуска. Когда вставляю код и жму скан: http://joxi.ru/52aQbEWHG1BDW2 , он просто выполняет скрипт, и всё. Новый лог нужно тоже приложить к сообщению?

[Vvvyg]

Как фиксить в HijackThis ссылка есть в сообщении #3.
Потом Autologger запускайте, как изначальный лог делали, только с шифтом.

[strelf1]

Кажется, понял, в чём путаница. Прежде я ещё НЕ запускал файл Autologger.exe (которым в итоге всё равно открывается то же приложение, что и через Hijack.exe), поэтому меня и сбили с толку формулировки "ещё раз" и "как изначальный делали". Изначальный-то я делал, запуская напрямую Hijack (посмотрите вашу инструкцию как раз из сообщения #3: "Запустите HijackThis, расположенный в папке Autologger...").

Теперь запустил Autologger.exe - и в нём действительно выводится Ок после запуска, который возможно нажать с шифтом. И при запуске даже окошко выводится с пояснениями, что происходит при обычном ок, а что с шифтом.

- - - - -Добавлено - - - - -

Лог соответствующий прилагаю.

[Vvvyg]

Отключите неиспользуемые расширения в Хроме.
Сделайте лог Malwarebytes AdwCleaner.

[strelf1]

Сделал.

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[strelf1]

Здравствуйте! Проделал рекомендованные вами действия. Отчёт прилагаю. Кэш и куки почистил. Проблемы ушли ещё несколько итераций назад: https://virusinfo.info/showthread.ph...=1#post1477384 и с тех пор себя не проявляли. Большое спасибо за помощь!

[Vvvyg]

Запустите AdwCleaner и нажмите Файл -> Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены