При загрузке Windows 7 автоматически загружается Explorer с сайтом ads01-atmgroup.rhcloud.com

@DKS · Регистрация: 17.05.2016

Author24 — интернет-сервис помощи студентам

При загрузке Windows 7 автоматически загружается Explorer(по умолчании) с сайтом ads01-atmgroup.rhcloud.com и далее перенаправляет на другие сайты. При закрытии Explorer все в порядке, но с переодичностью 10 мин все повторяется снова. Chrom при этом работает нормально. Пробовал другие браузеры, работают, пока не присвоишь по умолчанию. Каспер, Малвер, 360, НОД, ССliner, AVZ и многое другое, чистка реестров удаление программ не помогает. Зараза засела где-то в системе и управляет браузером самостоятельно. Помогите решить проблему. Желательно объяснить на пальцах, я обычный пользователь. До того как проблема возникла антивирусы не были установлены, сейчас стоит Kaspersky Total Security (пробник) и Malwarebytes anti-malware (пробник)

qvad · 17.05.2016, 21:08

да поздно пить боржоми, когда почки отказали

вперед, к неизведанному Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@DKS · 17.05.2016, 22:00 **[ТС]**

Логи здесь))

@DKS · 17.05.2016, 22:08 **[ТС]**

Проблема возникла после 9.05.2016 с 8-00 сынок поигрался на ноуте, наустанавливал разные дела, и 10.05.2016 после запуска системы всё НАЧАЛОСЬ.

qvad · 17.05.2016, 22:26

логи есть, придется немного подождать, пока их проанализируют, не вы единственный с проблемой вирусов, как только ваши логи проверят, вам ответят, что нужно сделать. удачи

@Sandor · 18.05.2016, 15:19

Здравствуйте!

ComboFix зачем запускали? Если сохранился C:\ComboFix.txt - покажите.

Внимание! Рекомендации написаны специально для пользователя DKS. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Users\USER\0.92267046497698.exe', '');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Users\USER\0.92267046497698.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\S10210379','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте и прикрепите лог сканирования AdwCleaner.

@DKS · 18.05.2016, 17:29 **[ТС]**

ComboFix зачем запускали? Если сохранился C:\ComboFix.txt - покажите.
Не могу с уверенностью сказать что запускал, и вообще не помню чтобы такое было установлено ранее (если оно не относится к 360 тотал секюрити). Есть файлы ComboFix2.txt; ComboFix-quarantined-files.txt; Add-Remove Programs.txt. Не могу прикрепить, размер более 20 Кб. Как быть?

@Sandor · 18.05.2016, 17:42

Упакуйте. И отчет из п.3 тоже делайте.

@DKS · 18.05.2016, 18:22 **[ТС]**

Отправляю отчет

@DKS · 18.05.2016, 18:28 **[ТС]**

Есть ещё отчеты

@Sandor · 18.05.2016, 18:34

1. Удалите следы Combofix:
Скачайте OTCleanIt, запустите, нажмите Clean up.

Без специального указания консультанта не рекомендуется запускать ее. Можно повредить систему.

2.

# AdwCleaner v5.116 - Отчёт создан 11/05/2016 в 16:36:13

Актуальная версия 5.117. Скачайте и переделайте.

Добавлено через 2 минуты
Понятно))

П.1 из предыдущего сообщения выполните.

Далее:
1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@DKS · 18.05.2016, 20:16 **[ТС]**

переделал

@DKS · 18.05.2016, 20:54 **[ТС]**

После Очистки и перезагрузки ПРОБЛЕМА ушла. Отправляю отчёты.

@DKS · 18.05.2016, 21:09 **[ТС]**

Браузеры работают нормально. Защиту включил. Что-то ещё нужно дополнительно сделать?

@severnyj · 18.05.2016, 21:25

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
HKU\S-1-5-21-3474512390-849079262-2001489748-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3474512390-849079262-2001489748-1001 -> yandex.ru-003005 URL = 
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
FF Extension: No Name - C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru.xpi [not found]
FF Extension: No Name - C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru.xpi [not found]
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}&fr=chxtn7.0.2__PARAM__
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Mail.Ru) - C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb [2016-05-15]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
2016-05-16 22:11 - 2016-05-16 22:11 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Users\USER\Downloads\SpyHunter-Installer.exe
2016-05-10 19:58 - 2016-05-11 14:50 - 00000000 ____D C:\Users\Все пользователи\360Quarant
2016-05-10 19:58 - 2016-05-11 14:50 - 00000000 ____D C:\ProgramData\360Quarant
2016-05-10 19:58 - 2016-05-10 19:58 - 00000000 ____D C:\Windows\Tasks\360Disabled
2016-05-10 19:57 - 2016-05-14 13:57 - 00000000 ____D C:\Program Files (x86)\360
2016-05-10 19:57 - 2016-04-25 07:59 - 00077904 _____ (360.cn) C:\Windows\SysWOW64\Drivers\360AvFlt.sys
2016-05-19 00:14 - 2014-07-12 11:06 - 00000008 __RSH C:\Users\Все пользователи\ntuser.pol
2016-05-19 00:14 - 2014-07-12 11:06 - 00000008 __RSH C:\ProgramData\ntuser.pol
Task: {5EE09735-148F-49CC-B4AC-E9DA4384282B} - \GoforFilesUpdate -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\USER:id [32]
AlternateDataStreams: C:\ProgramData\CLDShowX.ini:Update.CL [5122]
AlternateDataStreams: C:\ProgramData\Temp:D1B5B4F1 [112]
AlternateDataStreams: C:\Users\USER\Local Settings:wa [146]
AlternateDataStreams: C:\Users\USER\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\USER\AppData\Local\Application Data:wa [146]
AlternateDataStreams: C:\Users\Все пользователи\CLDShowX.ini:Update.CL [5122]
AlternateDataStreams: C:\Users\Все пользователи\Temp:D1B5B4F1 [112]

cmd: ipconfig /flushdns
cmd: ipconfig /release
cmd: ipconfig /renew
cmd: bitsadmin /reset /allusers
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@DKS · 18.05.2016, 22:08 **[ТС]**

Вот он

@severnyj · 18.05.2016, 22:13

Если проблем больше нет, то напоследок:

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@DKS · 19.05.2016, 05:46 **[ТС]**

Отправляю

@severnyj · 19.05.2016, 09:51

Исправляйте, обновляйте:

Учетная запись гостя включена. Пароль не установлен.

Skype™ 7.21 v.7.21.100 Внимание! Скачать обновления
^Необязательное обновление.^

Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u92-windows-x64.exe)^
Java 7 Update 71 v.7.0.710 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8.
Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u92-windows-i586.exe)^

iTunes v.12.3.1.23 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
QuickTime 7 v.7.78.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

Adobe AIR v.16.0.0.273 Внимание! Скачать обновления
Adobe Acrobat Reader DC v.15.010.20060 Внимание! Скачать обновления

Html5 geolocation provider v.3.5.4.872 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Update for Html5 geolocation provider v.3.4.9.828 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

И читайте: Рекомендации после удаления вредоносного ПО

@DKS · 20.05.2016, 07:10 **[ТС]**

Спасибо Вам огромное! Все замечательно работает, проблем нет. Вы просто молодцы!

@DKS 0 / 0 / 0 Регистрация: 17.05.2016 Сообщений: 12
		1
	При загрузке Windows 7 автоматически загружается Explorer с сайтом ads01-atmgroup.rhcloud.com 17.05.2016, 20:34. Показов 1121. Ответов 20 Метки нет (Все метки) При загрузке Windows 7 автоматически загружается Explorer(по умолчании) с сайтом ads01-atmgroup.rhcloud.com и далее перенаправляет на другие сайты. При закрытии Explorer все в порядке, но с переодичностью 10 мин все повторяется снова. Chrom при этом работает нормально. Пробовал другие браузеры, работают, пока не присвоишь по умолчанию. Каспер, Малвер, 360, НОД, ССliner, AVZ и многое другое, чистка реестров удаление программ не помогает. Зараза засела где-то в системе и управляет браузером самостоятельно. Помогите решить проблему. Желательно объяснить на пальцах, я обычный пользователь. До того как проблема возникла антивирусы не были установлены, сейчас стоит Kaspersky Total Security (пробник) и Malwarebytes anti-malware (пробник) 0

qvad 21304 / 12114 / 653 Регистрация: 11.04.2010 Сообщений: 53,466
	17.05.2016, 21:08	2
	да поздно пить боржоми, когда почки отказали вперед, к неизведанному Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@DKS 0 / 0 / 0 Регистрация: 17.05.2016 Сообщений: 12
	17.05.2016, 22:08 [ТС]	4
	Проблема возникла после 9.05.2016 с 8-00 сынок поигрался на ноуте, наустанавливал разные дела, и 10.05.2016 после запуска системы всё НАЧАЛОСЬ. 0

qvad 21304 / 12114 / 653 Регистрация: 11.04.2010 Сообщений: 53,466
	17.05.2016, 22:26	5
	логи есть, придется немного подождать, пока их проанализируют, не вы единственный с проблемой вирусов, как только ваши логи проверят, вам ответят, что нужно сделать. удачи 1

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,078
	18.05.2016, 15:19	6
	Здравствуйте! ComboFix зачем запускали? Если сохранился C:\ComboFix.txt - покажите. Внимание! Рекомендации написаны специально для пользователя DKS. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\ProgramData\service.exe', ''); QuarantineFile('C:\Users\USER\0.92267046497698.exe', ''); DeleteFile('C:\ProgramData\service.exe', '32'); DeleteFile('C:\Users\USER\0.92267046497698.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService','EventMessageFile'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\S10210379','command'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@DKS 0 / 0 / 0 Регистрация: 17.05.2016 Сообщений: 12
	18.05.2016, 17:29 [ТС]	7
	ComboFix зачем запускали? Если сохранился C:\ComboFix.txt - покажите. Не могу с уверенностью сказать что запускал, и вообще не помню чтобы такое было установлено ранее (если оно не относится к 360 тотал секюрити). Есть файлы ComboFix2.txt; ComboFix-quarantined-files.txt; Add-Remove Programs.txt. Не могу прикрепить, размер более 20 Кб. Как быть? 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,078
	18.05.2016, 17:42	8
	Упакуйте. И отчет из п.3 тоже делайте. 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,078
	18.05.2016, 18:34	11
	1. Удалите следы Combofix: Скачайте OTCleanIt, запустите, нажмите Clean up. Без специального указания консультанта не рекомендуется запускать ее. Можно повредить систему. 2. # AdwCleaner v5.116 - Отчёт создан 11/05/2016 в 16:36:13 Актуальная версия 5.117. Скачайте и переделайте. Добавлено через 2 минуты Понятно)) П.1 из предыдущего сообщения выполните. Далее: 1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@DKS 0 / 0 / 0 Регистрация: 17.05.2016 Сообщений: 12
	18.05.2016, 21:09 [ТС]	14
	Браузеры работают нормально. Защиту включил. Что-то ещё нужно дополнительно сделать? 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	18.05.2016, 22:13	17
	Если проблем больше нет, то напоследок: Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Временно выгрузите антивирус, файрволл и прочее защитное ПО. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	19.05.2016, 09:51	19
	Исправляйте, обновляйте: Учетная запись гостя включена. Пароль не установлен. Skype™ 7.21 v.7.21.100 Внимание! Скачать обновления *^Необязательное обновление.^* Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u92-windows-x64.exe)^ Java 7 Update 71 v.7.0.710 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8. Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u92-windows-i586.exe)^ iTunes v.12.3.1.23 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ QuickTime 7 v.7.78.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО. Adobe AIR v.16.0.0.273 Внимание! Скачать обновления Adobe Acrobat Reader DC v.15.010.20060 Внимание! Скачать обновления Html5 geolocation provider v.3.5.4.872 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Update for Html5 geolocation provider v.3.4.9.828 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. И читайте: Рекомендации после удаления вредоносного ПО 0

@DKS 0 / 0 / 0 Регистрация: 17.05.2016 Сообщений: 12
	20.05.2016, 07:10 [ТС]	20
	Спасибо Вам огромное! Все замечательно работает, проблем нет. Вы просто молодцы! 0