Самопроизвольно открываются вкладки с рекламой

@mamayka2004 · Регистрация: 23.10.2016

Author24 — интернет-сервис помощи студентам

Пару дней назад стали самопроизвольно открыватся вкладки с рекламой. Сам это побороть не могу. Помогите пожалуйста.

@thyrex · 23.10.2016, 23:39

Ace Stream Media 3.1.6
My Web Shield

удалите через Установку программ

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Program Files\My Web Shield\mweshieldup.exe');
 TerminateProcessByName('C:\Program Files\My Web Shield\mweshield.exe');
 SetServiceStart('mwescontroller', 4);
 SetServiceStart('mweshieldup', 4);
 SetServiceStart('mweshield', 4);
 QuarantineFile('C:\Program Files (x86)\Smart Application Controller\smappscontroller.exe','');
 QuarantineFile('C:\Users\админ\AppData\Local\driver_update\driver_update.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\mwescontroller.sys','');
 QuarantineFile('C:\Program Files\My Web Shield\mweshieldup.exe','');
 QuarantineFile('C:\Program Files\My Web Shield\mweshield.exe','');
 DeleteFile('C:\Program Files\My Web Shield\mweshield.exe','32');
 DeleteFile('C:\Program Files\My Web Shield\mweshieldup.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\mwescontroller.sys','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\driver_update','64');
 DeleteFile('C:\Users\админ\AppData\Local\driver_update\driver_update.exe','32');
 DeleteService('mweshieldup');
 DeleteService('mweshield');
 DeleteService('mwescontroller');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

@mamayka2004 · 24.10.2016, 00:25 **[ТС]**

Новые логи.

@thyrex · 24.10.2016, 18:45

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@mamayka2004 · 24.10.2016, 23:26 **[ТС]**

Отчеты.

@thyrex · 25.10.2016, 00:01

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-60816428-840757530-706196746-1002\...\Run: [amigo] => C:\Users\админ\AppData\Local\Amigo\Application\amigo.exe [1053400 2016-09-14] (Mail.Ru)
2016-10-22 10:49 - 2016-10-22 10:49 - 00002357 _____ C:\Users\админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2016-10-22 10:49 - 2016-10-22 10:49 - 00002357 _____ C:\Users\админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk
2016-10-22 10:49 - 2016-10-22 10:49 - 00002349 _____ C:\Users\админ\Desktop\Одноклассники.lnk
2016-10-22 10:49 - 2016-10-22 10:49 - 00002349 _____ C:\Users\админ\Desktop\ВКонтакте.lnk
2016-10-22 10:49 - 2016-10-22 10:49 - 00002303 _____ C:\Users\админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2016-10-22 10:49 - 2016-10-22 10:49 - 00002295 _____ C:\Users\админ\Desktop\Амиго.lnk
2016-10-22 10:49 - 2016-10-22 10:49 - 00000000 ____D C:\Users\админ\AppData\Local\Amigo
2016-10-22 10:49 - 2016-08-31 16:00 - 00057680 _____ C:\WINDOWS\system32\Drivers\mwescontroller.sys
C:\Users\админ\AppData\Local\Temp\condefclean.exe
C:\Users\админ\AppData\Local\Temp\libeay32.dll
C:\Users\админ\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\админ\AppData\Local\Temp\msvcr120.dll
C:\Users\админ\AppData\Local\Temp\sqlite3.dll
Task: {76EF3444-4051-48D8-8423-F820A6A0F3B6} - \WPD\SqmUpload_S-1-5-21-60816428-840757530-706196746-1002 -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

@mamayka2004 · 25.10.2016, 02:35 **[ТС]**

файл

@thyrex · 25.10.2016, 20:18

Сделайте лог МВАМ

@mamayka2004 · 26.10.2016, 12:51 **[ТС]**

файл

@thyrex · 26.10.2016, 19:46

Удалите в МВАМ только

Код

PUP.Optional.Zaxar, HKU\S-1-5-21-60816428-840757530-706196746-1002\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOWREGISTRY\AUDIO\POLICYCONFIG\PROPERTYSTORE\9C954E95_0, , [fc764e4f4f4bc86e5b32eff4857e8a76], 

PUP.Optional.Zaxar, HKU\S-1-5-21-60816428-840757530-706196746-1002\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOWREGISTRY\AUDIO\POLICYCONFIG\PROPERTYSTORE\9c954e95_0, {2}.\\?\hdaudio#func_01&ven_10ec&dev_0662&subsys_17aa3678&rev_1003#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\singlelineouttopo/00010001|\Device\HarddiskVolume5\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe%b{00000000-0000-0000-0000-000000000000}, , [fc764e4f4f4bc86e5b32eff4857e8a76]

PUP.Optional.MyWebShield, C:\Program Files\My Web Shield, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\cert, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\cert\SSL, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\nss, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 

PUP.Optional.MyWebShield, C:\FRST\Quarantine\C\WINDOWS\system32\Drivers\mwescontroller.sys.xBAD, , [42305449d3c78ea87d2d30c2778d7c84], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\mwescontroller.sys, , [c9a97a23e9b13006743643af91736f91], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\mwesmanager.exe, , [eb87138afaa0999d5fbd7143b64e4db3], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\mwesuninstall.exe, , [12604756653575c156c6704454b0a25e], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\My Web Shield.zip, , [86eca6f7bcdede58773341b17292cf31], 
PUP.Optional.MyWebShield, C:\Users\админ\AppData\Local\Temp\EAFCEE54-1FAB-4DB7-A450-ACB4502DB4C0\EAFCEE54-1FAB-4DB7-A450-ACB4502DB4C0.exe, , [76fceeaf227864d2a775dfd5fb09857b], 
PUP.Optional.Zaxar, C:\Users\админ\AppData\Local\Temp\A75173F5-2378-4F25-ABAD-A964FD906F1A\ZaxarSetup.4.001.33.exe, , [2151c5d8f5a5082e2245d250e11f1de3], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\libeay32.dll, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\mwessweeper.exe, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\ssleay32.dll, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\cert\SSL\cert.db, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\cert\SSL\My Web Shield 2.cer, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\cert\SSL\xtls.db, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\nss\certutil.exe, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\nss\mozcrt19.dll, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\nss\nspr4.dll, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\nss\nss3.dll, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\nss\plc4.dll, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\nss\plds4.dll, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\nss\smime3.dll, , [e58dcfce5b3f7bbbfd1e773dc14338c8], 
PUP.Optional.MyWebShield, C:\Program Files\My Web Shield\nss\softokn3.dll, , [e58dcfce5b3f7bbbfd1e773dc14338c8],

@mamayka2004 · 26.10.2016, 23:18 **[ТС]**

файл

@thyrex · 27.10.2016, 19:17

Проблема решена?

@mamayka2004 · 27.10.2016, 20:27 **[ТС]**

При мне больше пока не выскакивают вкладки. Через пару дней, посмотрю и еще напишу.

@thyrex · 29.10.2016, 00:11

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@mamayka2004 · 29.10.2016, 03:12 **[ТС]**

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 29.10.2016 03:06:45
Path starting: C:\Users\админ\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: админ
VersionXML: 3.47is-25.10.2016
___________________________________________________________________________

Windows 10(6.3.14393) (x64) CoreSingleLanguage Lang: Russian(0419)
Дата установки ОС: 18.09.2016 06:23:22
Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно.
Статус лицензии: Office 15, OfficeStandardVL_KMS_Client edition Срок истечения многопользовательской активации: 252440 мин.
Режим загрузки: Normal
Браузер по умолчанию: Microsoft Edge (C:\WINDOWS\system32\LaunchWinApp.exe)
Системный диск: C: ФС: [NTFS] Емкость: [97.7 Гб] Занято: [45.8 Гб] Свободно: [51.9 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.14393.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x64 v.15.0.4569.1506
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
-------------------------- [ SecurityUtilities ] --------------------------
Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
VLC media player v.2.2.4
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.29 v.7.29.102
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.8.42576 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.21.0.0.198 Внимание! Скачать обновления
--------------------------- [ RunningProcess ] ----------------------------
C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.14393.0
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\Windows Defender\MsMpEng.exe v.4.10.14393.0
C:\Program Files\Windows Defender\NisSrv.exe v.4.10.14393.0
Служба Защитника Windows (WinDefend) - Служба работает
Служба проверки сети Защитника Windows (WdNisSvc) - Служба работает

@thyrex · 29.10.2016, 22:19

Удалите МВАМ

Исправляйте указанное + Рекомендации после удаления вредоносного ПО

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	24.10.2016, 18:45	4
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	25.10.2016, 20:18	8
	Сделайте лог МВАМ 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	27.10.2016, 19:17	12
	Проблема решена? 0

@mamayka2004 0 / 0 / 0 Регистрация: 23.10.2016 Сообщений: 8
	27.10.2016, 20:27 [ТС]	13
	При мне больше пока не выскакивают вкладки. Через пару дней, посмотрю и еще напишу. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	29.10.2016, 00:11	14
	Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 0

@mamayka2004 0 / 0 / 0 Регистрация: 23.10.2016 Сообщений: 8
	29.10.2016, 03:12 [ТС]	15
	SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16] WebSite: www.safezone.cc DateLog: 29.10.2016 03:06:45 Path starting: C:\Users\админ\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: админ VersionXML: 3.47is-25.10.2016 ___________________________________________________________________________ Windows 10(6.3.14393) (x64) CoreSingleLanguage Lang: Russian(0419) Дата установки ОС: 18.09.2016 06:23:22 Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно. Статус лицензии: Office 15, OfficeStandardVL_KMS_Client edition Срок истечения многопользовательской активации: 252440 мин. Режим загрузки: Normal Браузер по умолчанию: Microsoft Edge (C:\WINDOWS\system32\LaunchWinApp.exe) Системный диск: C: ФС: [NTFS] Емкость: [97.7 Гб] Занято: [45.8 Гб] Свободно: [51.9 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.14393.0 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя включен Загружать автоматически обновления и устанавливать по заданному расписанию Центр обновления Windows (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2013 x64 v.15.0.4569.1506 ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (включен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и обновлен) -------------------------- [ SecurityUtilities ] -------------------------- Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления VLC media player v.2.2.4 --------------------------------- [ IM ] ---------------------------------- Skype™ 7.29 v.7.29.102 --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.8.42576 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.21.0.0.198 Внимание! Скачать обновления --------------------------- [ RunningProcess ] ---------------------------- C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.14393.0 ------------------ [ AntivirusFirewallProcessServices ] ------------------- C:\Program Files\Windows Defender\MsMpEng.exe v.4.10.14393.0 C:\Program Files\Windows Defender\NisSrv.exe v.4.10.14393.0 Служба Защитника Windows (WinDefend) - Служба работает Служба проверки сети Защитника Windows (WdNisSvc) - Служба работает 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	29.10.2016, 22:19	16
	Удалите МВАМ Исправляйте указанное + Рекомендации после удаления вредоносного ПО 0