С небольшим интервалом браузер открывает новые вкладки

**CapxaH** · 02.06.2018, 01:29

Не туда залез, и проигнорил предупреждение об угрозе. Установились несколько программ: system healer, launch system и несколько похожих и в хром влезло расширение Compaign notifier. Некоторые смог убить, но не все, док. Веб нашол около 150 нехороших файлов(сидят в карантине), дальше моих знаний не хватает.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.06.2018, 01:30

Уважаемый(ая) CapxaH, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 04.06.2018, 03:24

HiJackThis (из каталога autologger)профиксить

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlQr1q2VFM-BenZPt17Fv4-cuUt27KKPRNkm9uDJP5uAmD91XOLfix4DD917H7neUZaZOfbt1L00a264jY48wyjO9wzg4DBOB38MlHgk0xZSkzghekwbJ5W-g08RkOoNanErLzmqG0QaW7R72EQurPRmsTC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlQr1q2VFM-BenZPt17Fv4-cuUt27KKPRNkm9uDJP5uAmD91XOLfix4DD917H7neUZaZOfbt1L00a264jY48wyjO9wzg4DBOB38MlHgk0xZSkzghekwbJ5W-g08RkOoNanErLzmqG0QaW7R72EQurPRmsTC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlQr1q2VFM-BenZPt17Fv4-cuUt27KKPRNkm9uDJP5uAmD91XOLfix4DD917H7neUZaZOfbt1L00a2600zq_vOfEiHZgUUQJ2Q7RRIk6gbEs5kmhcLBPGTVBqIqbm23eeW9uKOOQ0a2iLZTfwoxAwWRP67ksr-Unu1
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlQr1q2VFM-BenZPt17Fv4-cuUt27KKPRNkm9uDJP5uAmD91XOLfix4DD917H7neUZaZOfbt1L00a264jY48wyjO9wzg4DBOB38MlHgk0xZSkzghekwbJ5W-g08RkOoNanErLzmqG0QaW7R72EQurPRmsTC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlQr1q2VFM-BenZPt17Fv4-cuUt27KKPRNkm9uDJP5uAmD91XOLfix4DD917H7neUZaZOfbt1L00a264jY48wyjO9wzg4DBOB38MlHgk0xZSkzghekwbJ5W-g08RkOoNanErLzmqG0QaW7R72EQurPRmsTC2rMS0MxSiXmpi0w,,&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch} [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlQr1q2VFM-BenZPt17Fv4-cuUt27KKPRNkm9uDJP5uAmD91XOLfix4DD917H7neUZaZOfbt1L00a264jY48wyjO9wzg4DBOB38MlHgk0xZSkzghekwbJ5W-g08RkOoNanErLzmqG0QaW7R72EQurPRmsTC2rMS0MxSiXmpi0w,,&q={searchTerms} - Search the web
O2 - HKLM\..\BHO: YoutubeAdBlock - {C0D38E5A-7CF8-4105-8FE8-31B81443A114} - C:\Program Files (x86)\lJFUJMGEHIE\tMqRWLa.dll
O2-32 - HKLM\..\BHO: YoutubeAdBlock - {C0D38E5A-7CF8-4105-8FE8-31B81443A114} - C:\Program Files (x86)\lJFUJMGEHIE\kGzWr4oY.dll
O4 - HKCU\..\Run: [3695050] = C:\Users\Ella\AppData\Roaming\zhikmyavgli\tvvzhsobcfe.exe /VERYSILENT
O4 - HKCU\..\Run: [5924914] = C:\Users\Ella\AppData\Roaming\hcoajtgv44b\bphclph1fjy.exe /VERYSILENT
O15 - Trusted Zone: HKCU - http://webcompanion.com
O15 - Trusted Zone: HKU\.DEFAULT - http://webcompanion.com
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Voyasollam\Xxx-tantrax.dll
O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Voyasollam\U-top.dll
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avg - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: TdqeVjasHzsikvrWtEm2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\wCCFxMJCsZmzC\RlTFxIu.dll",#1
O22 - Task: WobUIKhuMtTTi2 - C:\Windows\system32\wscript.exe "C:\ProgramData\XjOPTLXDzAynQaVB\dwjOZSz.wsf"
O22 - Task: XLqsfoKFUKuTqG - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\ijcQGTqqPStU2\kYcWvGcneiuIr.dll",#1
O22 - Task: rArHIXNWKfbeRtR2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\EgDGbQEiU\YWGniI.dll",#1
O23 - Service R2: 7eaca161d1edfc245f341853fb8e1e68 - C:\Windows\system32\rundll32.exe C:\Windows\iaaclpptmbsklggq.iaac cIffljTr
O23 - Service R2: TCPSvc - C:\Users\Ella\AppData\Local\Temp\csrss\proxy\tor.exe --nt-service -f "C:\Users\Ella\AppData\Local\Temp\csrss\proxy\config" --Log "notice file C:\Users\Ella\AppData\Local\Temp\csrss\proxy\t"
O23 - Service R2: b0985b53bdfcff625e52dae24b8fe992 - C:\Program Files\b0985b53bdfcff625e52dae24b8fe992\3c1f09b303ad2b815c9cdabedf989eee.exe
O23 - Service S2: Voyasollam - C:\ProgramData\\Voyasollam\\Voyasollam.exe (file missing) shuz -f "C:\ProgramData\\Voyasollam\\Voyasollam.dat" -l -a

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 TerminateProcessByName('c:\temp\is-im66c.tmp\tvvzhsobcfe.tmp');
 TerminateProcessByName('c:\users\ella\appdata\roaming\zhikmyavgli\tvvzhsobcfe.exe');
 TerminateProcessByName('c:\users\ella\appdata\local\temp\csrss\proxy\tor.exe');
 TerminateProcessByName('c:\users\ella\appdata\local\temp\csrss\proxy\obfs4proxy.exe');
 TerminateProcessByName('c:\program files (x86)\ljfujmgehie\iteynryvpe.exe');
 TerminateProcessByName('c:\temp\is-1sea6.tmp\bphclph1fjy.tmp');
 TerminateProcessByName('c:\users\ella\appdata\roaming\hcoajtgv44b\bphclph1fjy.exe');
 TerminateProcessByName('c:\program files\b0985b53bdfcff625e52dae24b8fe992\3c1f09b303ad2b815c9cdabedf989eee.exe');
 StopService('3045b926276952b3e4a3ef1fc2c60028');
 StopService('Voyasollam');
 StopService('TCPSvc');
 StopService('b0985b53bdfcff625e52dae24b8fe992');
 StopService('7eaca161d1edfc245f341853fb8e1e68');
 DeleteService('3045b926276952b3e4a3ef1fc2c60028');
 DeleteService('Voyasollam');
 DeleteService('TCPSvc');
 DeleteService('b0985b53bdfcff625e52dae24b8fe992');
 DeleteService('7eaca161d1edfc245f341853fb8e1e68');
 QuarantineFile('C:\Windows\system32\EhStorShell.dll','');
 QuarantineFile('C:\Program Files (x86)\ijcQGTqqPStU2\kYcWvGcneiuIr.dll','');
 QuarantineFile('C:\ProgramData\XjOPTLXDzAynQaVB\dwjOZSz.wsf','');
 QuarantineFile('C:\Program Files (x86)\wCCFxMJCsZmzC\RlTFxIu.dll','');
 QuarantineFile('C:\Program Files (x86)\SystemHealer\HealerConsole.exe','');
 QuarantineFile('C:\Program Files (x86)\EgDGbQEiU\YWGniI.dll','');
 QuarantineFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE','');
 QuarantineFile('C:\Program Files (x86)\SystemHealer\SystemHealer.exe','');
 QuarantineFile('C:\ProgramData\Voyasollam\Xxx-tantrax.dll','');
 QuarantineFile('C:\ProgramData\Voyasollam\U-top.dll','');
 QuarantineFile('C:\Users\Ella\AppData\Roaming\hcoajtgv44b\bphclph1fjy.exe','');
 QuarantineFile('C:\Users\Ella\AppData\Roaming\zhikmyavgli\tvvzhsobcfe.exe','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 QuarantineFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe','');
 QuarantineFile('C:\ProgramData\Voyasollam\Voyasollam.exe','');
 QuarantineFile('C:\Windows\System32\mracsvc.exe','');
 QuarantineFile('C:\Users\Ella\AppData\Local\Temp\csrss\proxy\tor.exe','');
 QuarantineFile('C:\Program Files\b0985b53bdfcff625e52dae24b8fe992\3c1f09b303ad2b815c9cdabedf989eee.exe','');
 QuarantineFile('C:\Windows\iTranslator','');
 QuarantineFile('C:\Windows\iNetfilterSvc','');
 QuarantineFile('C:\Windows\system32\drivers\3045b926276952b3e4a3ef1fc2c60028.sys','');
 QuarantineFile('C:\Windows\iaaclpptmbsklggq.iaac','');
 QuarantineFile('C:\Users\Ella\AppData\Local\Temp\qfilXCPnFgThYSRzs\DzQNPNUdCFQTgBxx\bUTGqcAzipPuilyC.dll','');
 QuarantineFile('C:\Temp\is-GPP60.tmp\idp.dll','');
 QuarantineFile('C:\Temp\is-5K236.tmp\idp.dll','');
 QuarantineFile('C:\Program Files (x86)\OxoywZINBbQwrioRGrR\OBGoohf.dll','');
 QuarantineFile('C:\Program Files (x86)\lJFUJMGEHIE\r7zQg.dll','');
 QuarantineFile('C:\Program Files (x86)\lJFUJMGEHIE\kGzWr4oY.dll','');
 QuarantineFile('c:\temp\is-im66c.tmp\tvvzhsobcfe.tmp','');
 QuarantineFile('c:\users\ella\appdata\roaming\zhikmyavgli\tvvzhsobcfe.exe','');
 QuarantineFile('c:\users\ella\appdata\local\temp\csrss\proxy\tor.exe','');
 QuarantineFile('c:\users\ella\appdata\local\temp\csrss\proxy\obfs4proxy.exe','');
 QuarantineFile('c:\program files (x86)\ljfujmgehie\iteynryvpe.exe','');
 QuarantineFile('c:\temp\is-1sea6.tmp\bphclph1fjy.tmp','');
 QuarantineFile('c:\users\ella\appdata\roaming\hcoajtgv44b\bphclph1fjy.exe','');
 QuarantineFile('c:\program files\b0985b53bdfcff625e52dae24b8fe992\3c1f09b303ad2b815c9cdabedf989eee.exe','');
 DeleteFile('c:\program files\b0985b53bdfcff625e52dae24b8fe992\3c1f09b303ad2b815c9cdabedf989eee.exe','32');
 DeleteFile('c:\temp\is-1sea6.tmp\bphclph1fjy.tmp','32');
 DeleteFile('c:\program files (x86)\ljfujmgehie\iteynryvpe.exe','32');
 DeleteFile('c:\users\ella\appdata\local\temp\csrss\proxy\obfs4proxy.exe','32');
 DeleteFile('c:\users\ella\appdata\local\temp\csrss\proxy\tor.exe','32');
 DeleteFile('c:\users\ella\appdata\roaming\zhikmyavgli\tvvzhsobcfe.exe','32');
 DeleteFile('c:\temp\is-im66c.tmp\tvvzhsobcfe.tmp','32');
 DeleteFile('C:\Program Files (x86)\lJFUJMGEHIE\kGzWr4oY.dll','32');
 DeleteFile('C:\Program Files (x86)\lJFUJMGEHIE\r7zQg.dll','32');
 DeleteFile('C:\Program Files (x86)\OxoywZINBbQwrioRGrR\OBGoohf.dll','32');
 DeleteFile('C:\Users\Ella\AppData\Local\Temp\qfilXCPnFgThYSRzs\DzQNPNUdCFQTgBxx\bUTGqcAzipPuilyC.dll','32');
 DeleteFile('C:\Windows\iaaclpptmbsklggq.iaac','32');
 DeleteFile('C:\Program Files\b0985b53bdfcff625e52dae24b8fe992\3c1f09b303ad2b815c9cdabedf989eee.exe','32');
 DeleteFile('C:\Users\Ella\AppData\Local\Temp\csrss\proxy\tor.exe','32');
 DeleteFile('C:\ProgramData\Voyasollam\Voyasollam.exe','32');
 DeleteFile('C:\Windows\system32\drivers\3045b926276952b3e4a3ef1fc2c60028.sys','32');
 DeleteFile('C:\Users\Ella\AppData\Roaming\zhikmyavgli\tvvzhsobcfe.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3695050');
 DeleteFile('C:\Users\Ella\AppData\Roaming\hcoajtgv44b\bphclph1fjy.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5924914');
 DeleteFile('C:\ProgramData\Voyasollam\U-top.dll','32');
 DeleteFile('C:\ProgramData\Voyasollam\Xxx-tantrax.dll','32');
 DeleteFile('C:\Program Files (x86)\SystemHealer\SystemHealer.exe','32');
 DeleteFile('C:\Windows\Tasks\System HealerPeriod.job','32');
 DeleteFile('C:\Windows\Tasks\System HealerStartUp.job','32');
 DeleteFile('C:\Windows\system32\Tasks\FastDataX Task','64');
 DeleteFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE','32');
 ExecuteFile('schtasks.exe', '/delete /TN "KnPQHVchzdGfrlHaz2" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "rArHIXNWKfbeRtR2" /F', 0, 15000, true); 
 DeleteFile('C:\Program Files (x86)\EgDGbQEiU\YWGniI.dll','32');
 ExecuteFile('schtasks.exe', '/delete /TN "System Healer Delayed" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "System Healer Monitor" /F', 0, 15000, true); 
 DeleteFile('C:\Program Files (x86)\SystemHealer\HealerConsole.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "System HealerPeriod" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "System HealerStartUp" /F', 0, 15000, true); 
 DeleteFile('C:\Windows\system32\Tasks\System HealerStartUp','64');
 DeleteFile('C:\Program Files (x86)\wCCFxMJCsZmzC\RlTFxIu.dll','32');
 ExecuteFile('schtasks.exe', '/delete /TN "TdqeVjasHzsikvrWtEm2" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "WobUIKhuMtTTi2" /F', 0, 15000, true); 
 DeleteFile('C:\ProgramData\XjOPTLXDzAynQaVB\dwjOZSz.wsf','32');
 ExecuteFile('schtasks.exe', '/delete /TN "XLqsfoKFUKuTqG" /F', 0, 15000, true); 
 DeleteFile('C:\Program Files (x86)\ijcQGTqqPStU2\kYcWvGcneiuIr.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

С небольшим интервалом браузер открывает новые вкладки (заявка № 219161)

Опции темы