При запуске браузера открывается вкладка dipladoks.org.

**zoofar** · 12.01.2019, 23:59

Добрый день!

Суть проблемы описана в названии темы. Проверял Dr.Web'ом - вируса не видит. Стационарного антивирусника не стоит. Логи прикрепил. Помогите, пожалуйста!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.01.2019, 00:01

Уважаемый(ая) zoofar, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 13.01.2019, 00:13

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\smotr\AppData\Roaming\WindowsServices\helper.vbs','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','smotr');
 DeleteFile('C:\Users\smotr\AppData\Roaming\WindowsServices\helper.vbs','32');
 DeleteFile('C:\Windows\system32\Tasks\smotr','64');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10454__180820
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BDF61FAE-9D19-40F0-8F34-688DEB334CA9}: [URL,TopResultURL] = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10454__180820&q={searchTerms} - Ad-Aware SecureSearch
O4 - HKCU\..\Run: [smotr] = C:\Windows\explorer.exe http://dipladoks.org
O22 - Task: smotr - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v smotr /t REG_SZ /d "explorer.exe http://dipladoks.org"

Сделайте повторные логи по правилам

**zoofar** · 13.01.2019, 21:31

Все сделал как вы описали. Единственное, мне сайт не дает загрузить архив с карантином. Пишет - Ошибка загрузки. Данный файл уже был загружен. Пробовал переименовывать архив - тоже самое.

Еще момент - покопавшись в автозагрузках фигурирует helper.vbs. При запуске диспетчера задач (не всегда) или просто через какое-то время система уходит в ребут и зависает на загрузке окна ОС. Зайти могу только через безопасный режим. Касперский и Доктор веб ничего не видят.

Логи прикрепил.

**mike 1** · 14.01.2019, 20:26

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**zoofar** · 14.01.2019, 23:28

Прикрепил

**mike 1** · 16.01.2019, 17:46

2019-01-13 18:38 - 2019-01-13 18:38 - 000012618 _____ C:\Users\smotr\Downloads\Kaspersky Total Security 2019 19.0.0.1088a x86 [2018, Eng] [rutracker-5587834].torrent
2019-01-13 18:27 - 2019-01-13 18:27 - 000012798 _____ C:\Users\smotr\Downloads\Kaspersky Free Antivirus 19.0.0.1088 (c) x86 x64 [2018, Rus] [rutracker-5637957].torrent

Не с торрентов нужно скачивать антивирусы, а с официальных сайтов производителя.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-714425056-3499148638-2404857926-1001\...\Policies\Explorer: [] 
GroupPolicy: Restriction ? <==== ATTENTION
SearchScopes: HKU\S-1-5-21-714425056-3499148638-2404857926-1001 -> {BDF61FAE-9D19-40F0-8F34-688DEB334CA9} URL = hxxp://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10454__180820&q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
Folder: C:\WindowsServices
Folder: C:\_
HKU\S-1-5-21-714425056-3499148638-2404857926-1001\...\StartupApproved\Run: => "smotr"
HKU\S-1-5-21-714425056-3499148638-2404857926-1001\...\StartupApproved\StartupFolder: => "helper.lnk"

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

**zoofar** · 17.01.2019, 14:57

Не с торрентов нужно скачивать антивирусы, а с официальных сайтов производителя.

Хорошо, учту!

Отчет на скрепке.

**mike 1** · 17.01.2019, 20:09

C:\WindowsServices
C:\_

Удалите эти папки вручную. Находятся в корне диска С.

Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите отчет в вашей теме

**zoofar** · 20.01.2019, 22:33

Удалите эти папки вручную. Находятся в корне диска С.

Сделал. Лог прикрепил.

**mike 1** · 21.01.2019, 20:33

Обновите:

VLC media player v.3.0.3 Внимание! Скачать обновления
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
Steam v.2.10.91.91
TeamViewer 14 v.14.0.13880 Внимание! Скачать обновления

OpenVPN 2.4.5-I601 v.2.4.5-I601 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.101 Внимание! Скачать обновления

**zoofar** · 22.01.2019, 09:54

Спасибо большое вам и вашей команде за помощь!
Вирусы все потерлись, но осталась проблема с перезапуском системы:
Просто самопроизвольно, без какого-то алгоритма в процессе работы система зависает в разные промежутки времени и далее уходит в ребут. На окне загрузки ОС опять висит. Не помогает ни восстановление с загрузчика ни проверки с последующим восстановлением. Может какой-то службы нет и ОС не может стабильно работать - я не IT специалист, а моих интелектуальных способностей не хватает для решения текущего вопроса. Причем, вчера весь день работал за компом и все было ОК. Обрадовался. И тут опять висяк.
Склоняюсь к переустановке ОС, т.к., возможно, проблема с "железом". Хотя, до последнего оттягивал эту работу.
Еще раз, спасибо вам за помощь

. Ваша команда выручает не в первый раз.

**mike 1** · 22.01.2019, 19:04

Сделайте по 3 последним падениям скриншоты из программы BlueScreenView.

**zoofar** · 23.01.2019, 14:14

Сообщение от mike 1

Сделайте по 3 последним падениям скриншоты из программы BlueScreenView.

Mike, я уже принял решение переустановить ОС. Спасибо лично Вам за работу! Тему можно закрывать.

P.S: Раньше сидел без антивирусника несколько лет, надеясь на встроенное ПО ОС. Теперь буду поумнее.

При запуске браузера открывается вкладка dipladoks.org. (заявка № 221492)

Опции темы