Браузер сам открывает страницы с рекламой

B1ack.Berry · 20.11.2016, 18:34

Здравствуйте!
Запустили левую программу, предварительно проверив её с помощью NOD32. После запуска появилась такая проблема: браузер (Opera, стоит по умолчанию) периодически открывает сайт (internetwait.com/hotoffsm), оттуда идёт несколько переадресаций (b2.ijquery11.com), и в конце выходит (пока что) на казино вулкан (xvulkan.net, 777win.club).
Почистил реестр с помощью CCleaner - не помогло.
Искал эти сайты и их IP в реестре вручную - ничего не нашёл.
Почистил программой AdwCleaner - ничего не изменилось.
Прошёл утилитой CureIt - тоже без толку.
Просканировал с помощью HijackThis и uVS.
Все отчёты во вложении.
Прошу помочь!

Аркалык · 20.11.2016, 18:49

B1ack.Berry, Переделайте образ автозапуска uVS по инструкций.
Как создать образ автозапуска в uVS. Краткая инструкция

B1ack.Berry · 20.11.2016, 19:16

Цитата:

Сообщение от Arkalik

B1ack.Berry, Переделайте образ автозапуска uVS по инструкций.

Переделал.

Аркалык · 20.11.2016, 19:33

B1ack.Berry, ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- отключаем антивирус и закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);

Код:

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
; C:\PROGRAMDATA\VKSAVER\VKSAVER.EXE
zoo %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
addsgn 9252777A1F6AC1CC0BE45B4E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 13 vk_virus
chklst
delvir
delref HTTP://INTERNETWAIT.COM/HOTOFFSM
delref HTTP://MOIKRUG.RU/PERSONS/?CLID=163298&CHARSET=UTF-8&KEYWORDS={SEARCHTERMS}&SUBMITTED=1
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&FORM=IE8SRC
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE11SR
delref HTTP://WWW.MAIL.RU/CNT/7829
delref HTTP://YANDEX.RU/YANDSEARCH?CLID=163298&TEXT={SEARCHTERMS}
delref %SystemDrive%\PROGRAMDATA\MIEOCPOBLPMIIJBNJMKNEKLHKMCLDMHG
delall %SystemDrive%\PROGRA~3\MOZILLA\LUDRTVM.EXE
delall %SystemDrive%\USERS\DNS\6525233.EXE
delall %SystemDrive%\USERS\DNS\APPDATA\LOCAL\TEMP\DELETEONREBOOT.BAT
delall %SystemDrive%\USERS\DNS\APPDATA\LOCAL\TEMP\E565E795.SYS
delall %SystemDrive%\USERS\DNS\APPDATA\LOCAL\TEMP\YUPDATE-VERSIONINFO-YABROWSER.XML
delall %SystemDrive%\USERS\DNS\APPDATA\LOCAL\TEMP\B3D26281-BEE55028-615E87C3-5224760D\E3874FE5.SYS
delall %SystemDrive%\USERS\DNS\DESKTOP\GET-STYLES.EXE
delall %SystemDrive%\USERS\DNS\DESKTOP\NEIGHBOURS_FROM_HELL.EXE
deltmp
delnfr
regt 27
regt 28
regt 29
dnsreset
restart

перезагрузка, пишем о старых и новых проблемах.
------------------------
далее, выполните быстрое сканирование в Malwarebytes

B1ack.Berry · 20.11.2016, 20:57

Всё сделал, реклама больше не выскакивает. Спасибо большое!
После перезагрузки пропал локальный диск E (это второй жёсткий диск, C и D находятся на первом).
Просканировал через Malwarebytes, отчёт во вложении.

safety · 21.11.2016, 10:23

это оставьте в мбам

Цитата:

Процессы: 1
RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, 2028, , [8501bd0539619f97885062f9689905fb]

Файлы: 249
RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, , [8501bd0539619f97885062f9689905fb],

остальное удалите,
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
Как выполнить проверку в AdwCleaner?

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
Как создать логи FRST

B1ack.Berry · 21.11.2016, 11:24

Спасибо!
Всё сделал.
AdwCleaner ничего не нашёл.
Логи из FRST во вложении.

safety · 21.11.2016, 12:10

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (SaveFrom.net помощник) - C:\Users\dns\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl [2016-11-17] [UpdateUrl: hxxp://download.sf-helper.com/chrome/updates.xml] <==== ATTENTION
CHR Extension: (vkPlugin) - C:\Users\dns\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmmjbgfggmhddinaligfjjgmahoaaijo [2014-05-25]
OPR Extension: (Доступ  к сайту БК \) - C:\Users\dns\AppData\Roaming\Opera Software\Opera Stable\Extensions\koemjelaallgbmhkcmcndgjbenelmajl [2016-01-14]
OPR Extension: (SaveFrom.net помощник) - C:\Users\dns\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2016-11-08]
Task: {B042999E-9384-49BA-AF1E-F64552B9AA47} - \{BEDEC590-0D83-4EC9-AD82-753B17976130} -> No File <==== ATTENTION
Task: {B30A2550-21CD-4103-87F2-3376AB17CF28} - \{E3AD90DA-37E3-4AD7-9F22-7D5CF3206345} -> No File <==== ATTENTION
Task: {B3E8D2DF-5C3F-4160-B8E4-BF548E0FFCFE} - \InternetAA -> No File <==== ATTENTION
Task: {D658F51E-E1FD-4A26-9D9D-DA0FA62AAA17} - \VKSaverUpdate -> No File <==== ATTENTION
Task: {F527F604-C84C-4936-BC27-1D913AE7A9F6} - \ugqolbi -> No File <==== ATTENTION
EmptyTemp:
Reboot:

Neks · 21.11.2016, 14:48

Такая же проблема. Образ автозапуска uVS прикрепил. Могли бы так же помочь?

B1ack.Berry · 21.11.2016, 15:08

Цитата:

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Готово!
Только, если честно, не понимаю, зачем было удалять расширения, они в браузере давно, и вреда от них никакого не замечал...

20.11.2016, 18:49	#2 (permalink)
Аркалык Member Регистрация: 14.04.2012 Сообщений: 5,384 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2982	B1ack.Berry, Переделайте образ автозапуска uVS по инструкций. Как создать образ автозапуска в uVS. Краткая инструкция

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070