Самопроизвольно открываются вкладки и сайты через несколько минут иногда секунд
Самопроизвольное открытие сайтов [Trojan-Downloader.Win32.AdLoad.a, UDS:DangerousObject.Multi.Generic]
Самопроизвольно открываются вкладки и сайты через несколько минут иногда секунд
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) master-bit, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ из папки Autologger
Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\FQJWBZ3ZXZ\TXV4A6V3L.exe',''); QuarantineFile('C:\Program Files\3F4X3AZ1GH\XUL4VDPKB.exe',''); QuarantineFile('C:\Program Files\0BTGC7L24X\0BTGC7L24.exe',''); QuarantineFile('C:\Program Files\WW03ILEQ39\WW03ILEQ3.exe',''); QuarantineFile('C:\Program Files\22PHKE4RTP\22PHKE4RT.exe',''); QuarantineFile('C:\Users\1111\AppData\Roaming\20xtxupxmpg\an44alctl3g.exe',''); QuarantineFile('C:\Users\1111\AppData\Roaming\ioze30odc33\jcaabnwokcr.exe',''); QuarantineFile('C:\Users\1111\AppData\Roaming\airzocjeffj\zccrglvqlvb.exe',''); QuarantineFile('C:\Users\1111\AppData\Roaming\qy23ri0furo\b3vmhzm35u0.exe',''); QuarantineFile('C:\Users\1111\AppData\Roaming\f3cvge5ui1d\owpzyv0rez3.exe',''); QuarantineFile('C:\Program Files\08ME1UUUYU\BWZ2H3UJF.exe',''); QuarantineFile('C:\Users\1111\AppData\Roaming\vdacjfqgtuk\bsagz3ugnqk.exe',''); QuarantineFile('C:\Program Files (x86)\zjmvnnphq5o\6BKVX.exe',''); QuarantineFile('C:\ProgramData\cpafService\cpafService.exe',''); QuarantineFile('c:\users\1111\appdata\local\xservice\xservice.dll',''); TerminateProcessByName('c:\users\1111\appdata\local\temp\is-i0k91.tmp\rs1zgix31bv.tmp'); TerminateProcessByName('c:\users\1111\appdata\roaming\bhj4sblkpu0\rs1zgix31bv.exe'); QuarantineFile('c:\users\1111\appdata\roaming\bhj4sblkpu0\rs1zgix31bv.exe',''); QuarantineFile('c:\users\1111\appdata\local\temp\is-i0k91.tmp\rs1zgix31bv.tmp',''); TerminateProcessByName('c:\users\1111\appdata\local\temp\is-nlddh.tmp\lylwssbosjt.tmp'); TerminateProcessByName('c:\users\1111\appdata\roaming\c1xclbgzkr5\lylwssbosjt.exe'); TerminateProcessByName('c:\users\1111\appdata\local\temp\is-980ec.tmp\cqqnna04emn.tmp'); TerminateProcessByName('c:\users\1111\appdata\roaming\cotlof4nzqv\cqqnna04emn.exe'); QuarantineFile('c:\users\1111\appdata\roaming\cotlof4nzqv\cqqnna04emn.exe',''); QuarantineFile('c:\users\1111\appdata\local\temp\is-nlddh.tmp\lylwssbosjt.tmp',''); QuarantineFile('c:\users\1111\appdata\roaming\c1xclbgzkr5\lylwssbosjt.exe',''); QuarantineFile('c:\users\1111\appdata\local\temp\is-980ec.tmp\cqqnna04emn.tmp',''); TerminateProcessByName('C:\Program Files\204LFB3P0M\204LFB3P0.exe'); TerminateProcessByName('C:\Program Files (x86)\zjmvnnphq5o\265HSQJ8LTOPR3S.exe'); TerminateProcessByName('C:\Program Files\2N4IDMM0VB\2N4IDMM0V.exe'); TerminateProcessByName('C:\Program Files\8DA8M6623T\2RSGEAWKY.exe'); QuarantineFile('C:\Program Files\8DA8M6623T\2RSGEAWKY.exe',''); QuarantineFile('C:\Program Files\2N4IDMM0VB\2N4IDMM0V.exe',''); QuarantineFile('C:\Program Files (x86)\zjmvnnphq5o\265HSQJ8LTOPR3S.exe',''); QuarantineFile('C:\Program Files\204LFB3P0M\204LFB3P0.exe',''); DeleteFile('C:\Program Files\204LFB3P0M\204LFB3P0.exe','32'); DeleteFile('C:\Program Files (x86)\zjmvnnphq5o\265HSQJ8LTOPR3S.exe','32'); DeleteFile('C:\Program Files\2N4IDMM0VB\2N4IDMM0V.exe','32'); DeleteFile('C:\Program Files\8DA8M6623T\2RSGEAWKY.exe','32'); DeleteFile('c:\users\1111\appdata\local\temp\is-980ec.tmp\cqqnna04emn.tmp','32'); DeleteFile('c:\users\1111\appdata\roaming\c1xclbgzkr5\lylwssbosjt.exe','32'); DeleteFile('c:\users\1111\appdata\local\temp\is-nlddh.tmp\lylwssbosjt.tmp','32'); DeleteFile('c:\users\1111\appdata\roaming\cotlof4nzqv\cqqnna04emn.exe','32'); DeleteFile('c:\users\1111\appdata\local\temp\is-i0k91.tmp\rs1zgix31bv.tmp','32'); DeleteFile('c:\users\1111\appdata\roaming\bhj4sblkpu0\rs1zgix31bv.exe','32'); DeleteFile('c:\users\1111\appdata\local\xservice\xservice.dll','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8578018'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1114XJTHM6TQQFY'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7810537'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7KBTWJT0INUZ938'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5989953'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RFDVQWF7BAGL8NS'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MicroService\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','OMEWPRODUCT_01X92'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1956951','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2561927','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3872819','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\4859184','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5881408','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6SMTBL54L4IQR8V','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\7711976','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\8N4KITS7CKP8PJL','command'); DeleteFile('C:\Program Files (x86)\zjmvnnphq5o\6BKVX.exe','32'); DeleteFile('C:\Users\1111\AppData\Roaming\vdacjfqgtuk\bsagz3ugnqk.exe','32'); DeleteFile('C:\Program Files\08ME1UUUYU\BWZ2H3UJF.exe','32'); DeleteFile('C:\Users\1111\AppData\Roaming\f3cvge5ui1d\owpzyv0rez3.exe','32'); DeleteFile('C:\Users\1111\AppData\Roaming\qy23ri0furo\b3vmhzm35u0.exe','32'); DeleteFile('C:\Users\1111\AppData\Roaming\airzocjeffj\zccrglvqlvb.exe','32'); DeleteFile('C:\Users\1111\AppData\Roaming\ioze30odc33\jcaabnwokcr.exe','32'); DeleteFile('C:\Users\1111\AppData\Roaming\20xtxupxmpg\an44alctl3g.exe','32'); DeleteFile('C:\Program Files\22PHKE4RTP\22PHKE4RT.exe','32'); DeleteFile('C:\Program Files\WW03ILEQ39\WW03ILEQ3.exe','32'); DeleteFile('C:\Program Files\0BTGC7L24X\0BTGC7L24.exe','32'); DeleteFile('C:\Program Files\3F4X3AZ1GH\XUL4VDPKB.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PI0AZRFI7QUS92R','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\JD62Q8ETIKEJDWE','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\B0XF2FHVOEV9HDN','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9KR9EH2NAFN2MUG','command'); DeleteFile('C:\Program Files\FQJWBZ3ZXZ\TXV4A6V3L.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Y45B6WKY2AOMKZR','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Повторный лог
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отчёт
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: S2 MicroService; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION <==== ATTENTION (no ServiceDLL) S2 MicroService; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION <==== ATTENTION (no ServiceDLL) S3 WinRing0_1_2_0; \??\C:\Users\1111\AppData\Local\Temp\7ZipSfx.001\bin\tools\openhardwaremonitor\OpenHardwareMonitor.sys [X] <==== ATTENTION 2018-08-20 15:15 - 2018-08-20 15:39 - 000000000 ____D C:\Users\1111\AppData\Roaming\c1xclbgzkr5 2018-08-20 15:15 - 2018-08-20 15:15 - 000000000 ____D C:\Program Files\8DA8M6623T 2018-08-20 14:53 - 2018-08-20 15:39 - 000000000 ____D C:\Users\1111\AppData\Roaming\bhj4sblkpu0 2018-08-20 14:53 - 2018-08-20 14:53 - 000000000 ____D C:\Program Files\2N4IDMM0VB 2018-08-20 13:23 - 2018-08-20 15:39 - 000000000 ____D C:\Users\1111\AppData\Roaming\cotlof4nzqv 2018-08-20 13:23 - 2018-08-20 13:23 - 000000000 ____D C:\Program Files\204LFB3P0M 2018-08-20 11:52 - 2018-08-20 15:39 - 000000000 ____D C:\Users\1111\AppData\Roaming\qy23ri0furo 2018-08-20 11:52 - 2018-08-20 15:39 - 000000000 ____D C:\Program Files\3F4X3AZ1GH 2018-08-16 12:07 - 2018-08-20 15:39 - 000000004 _____ C:\Users\Все пользователи\lock.dat 2018-08-16 12:07 - 2018-08-20 15:39 - 000000004 _____ C:\ProgramData\lock.dat 2018-08-16 11:07 - 2018-08-20 15:39 - 000000000 ____D C:\Program Files (x86)\zjmvnnphq5o 2018-08-16 11:05 - 2018-08-20 15:40 - 000000000 ____D C:\Users\1111\AppData\Local\XService 2018-08-16 11:05 - 2018-08-16 11:06 - 000294912 _____ C:\Program Files\a.exe 1601-01-03 21:33 - 1601-01-03 21:33 - 000186368 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\kuIBaw.exe 1601-01-03 21:33 - 1601-01-03 21:33 - 000186368 ____N (Microsoft Corporation) C:\Users\1111\AppData\Roaming\woiiV.exe 1601-01-03 21:33 - 1601-01-03 21:33 - 000073216 ____N (Microsoft Corporation) C:\Users\1111\AppData\Roaming\YeSCxVEjEm.exe 2018-08-16 11:05 - 2018-08-16 11:05 - 000935927 _____ (W422YyzL5dml3o0IN2Zc ) C:\Users\1111\AppData\Local\Temp\installer.exe 2018-08-16 11:05 - 2018-08-16 11:05 - 002206151 _____ (pluwfotbni) C:\Users\1111\AppData\Local\Temp\installer_campaign_19354.exe 2018-08-16 11:06 - 2018-08-16 11:06 - 000884736 _____ (Sokira) C:\Users\1111\AppData\Local\Temp\installer_mi (1).exe 2018-08-16 11:05 - 2018-08-16 11:05 - 000884736 _____ (Sokira) C:\Users\1111\AppData\Local\Temp\installer_mi.exe 2018-08-16 11:06 - 2018-08-16 11:06 - 000253200 _____ () C:\Users\1111\AppData\Local\Temp\ketup.exe 2018-08-16 11:05 - 2018-08-16 11:05 - 002188520 _____ () C:\Users\1111\AppData\Local\Temp\novol.exe 2018-08-16 11:05 - 2018-08-16 11:05 - 000488652 _____ (LL ) C:\Users\1111\AppData\Local\Temp\speedownloader.exe 2018-08-16 11:06 - 2018-08-16 11:06 - 001129939 _____ (Your.Software ) C:\Users\1111\AppData\Local\Temp\whiteclick (1).exe 2018-08-16 11:05 - 2018-08-16 11:05 - 001129939 _____ (Your.Software ) C:\Users\1111\AppData\Local\Temp\whiteclick.exe CustomCLSID: HKU\S-1-5-21-293488384-3794675700-3911585182-1000_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\1111\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\amd64\FileCoAuthLib64.dll => No File ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File Task: {EA321389-C3F7-477E-B3BB-6E40BFCA38EB} - \DRPNPS -> No File <==== ATTENTION MSCONFIG\startupreg: 1956951 => MSCONFIG\startupreg: 2561927 => MSCONFIG\startupreg: 3872819 => MSCONFIG\startupreg: 4859184 => MSCONFIG\startupreg: 5881408 => MSCONFIG\startupreg: 6SMTBL54L4IQR8V => MSCONFIG\startupreg: 7711976 => MSCONFIG\startupreg: 8N4KITS7CKP8PJL => MSCONFIG\startupreg: 9KR9EH2NAFN2MUG => MSCONFIG\startupreg: B0XF2FHVOEV9HDN => MSCONFIG\startupreg: JD62Q8ETIKEJDWE => MSCONFIG\startupreg: PI0AZRFI7QUS92R => MSCONFIG\startupreg: Y45B6WKY2AOMKZR => Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот лог
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, Огромное спасибо.
Скажите пожалуйста, как этому всему научится ?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\zjmvnnphq5o\265hsqj8ltopr3s.exe - Trojan-Downloader.Win32.AdLoad.a
- c:\program files (x86)\zjmvnnphq5o\6bkvx.exe - Trojan-Downloader.Win32.AdLoad.a
- c:\program files\2n4idmm0vb\2n4idmm0v.exe - Trojan-Downloader.Win32.AdLoad.a
- c:\program files\204lfb3p0m\204lfb3p0.exe - Trojan-Downloader.Win32.AdLoad.a
- c:\program files\3f4x3az1gh\xul4vdpkb.exe - Trojan-Downloader.Win32.AdLoad.a
- c:\program files\8da8m6623t\2rsgeawky.exe - Trojan-Downloader.Win32.AdLoad.a
- c:\programdata\cpafservice\cpafservice.exe - HEUR:Trojan.Win32.Generic
- c:\users\1111\appdata\local\xservice\xservice.dll - Trojan-PSW.Win32.Agent.thgb
- c:\users\1111\appdata\roaming\bhj4sblkpu0\rs1zgix3 1bv.exe - UDS:DangerousObject.Multi.Generic
- c:\users\1111\appdata\roaming\cotlof4nzqv\cqqnna04 emn.exe - UDS:DangerousObject.Multi.Generic
- c:\users\1111\appdata\roaming\c1xclbgzkr5\lylwssbo sjt.exe - UDS:DangerousObject.Multi.Generic
- c:\users\1111\appdata\roaming\qy23ri0furo\b3vmhzm3 5u0.exe - UDS:DangerousObject.Multi.Generic
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) master-bit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
