Opera - редирект открытых страниц

@FireTag · Регистрация: 02.02.2016

Author24 — интернет-сервис помощи студентам

Opera - происходит редирект страниц на рекламные сайты. Сделал логи в Farbar Recovery Scan Tool. Чистка CCleaner и Malwarebytes, Касперским, обновления программ не помогли. Прикрепляю логи.

@FireTag · 07.01.2017, 15:55 **[ТС]**

Заранее спасибо!

@severnyj · 07.01.2017, 16:07

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
HKLM\...\Policies\Explorer\Run: [0FDA44DC-20C5-4A15-8B42-97E7769670E6] => C:\ProgramData\Microsoft\Macromed\Flash Player\0FDA44DC-20C5-4A15-8B42-97E7769670E6\419F0D64-E84D-4096-886B-BAA8DAD6A1E3.exe
C:\ProgramData\Microsoft\Macromed\Flash Player\0FDA44DC-20C5-4A15-8B42-97E7769670E6\419F0D64-E84D-4096-886B-BAA8DAD6A1E3.exe
HKU\S-1-5-21-2332147243-3701152189-237777505-1000\...\Policies\Explorer: [] 
ShellIconOverlayIdentifiers: [    YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} =>  -> No File
ShellIconOverlayIdentifiers: [KAVOverlayIcon] -> {014F27E2-6D75-4E42-A0E9-2A2C68498AFA} =>  -> No File
ShellIconOverlayIdentifiers-x32: [KAVOverlayIcon] -> {014F27E2-6D75-4E42-A0E9-2A2C68498AFA} =>  -> No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2332147243-3701152189-237777505-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2332147243-3701152189-237777505-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2332147243-3701152189-237777505-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 
SearchScopes: HKLM-x32 -> DefaultScope value is missing
FF Plugin HKU\S-1-5-21-2332147243-3701152189-237777505-1000: @tools.sputnik.ru/Sputnik Update;version=3 -> C:\Users\Сергей\AppData\Local\Sputnik\Update\1.3.27.5\npSputnikUpdate3.dll [No File]
FF Plugin HKU\S-1-5-21-2332147243-3701152189-237777505-1000: @tools.sputnik.ru/Sputnik Update;version=9 -> C:\Users\Сергей\AppData\Local\Sputnik\Update\1.3.27.5\npSputnikUpdate3.dll [No File]
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
OPR Extension: (News Tab) - C:\Users\Сергей\AppData\Roaming\Opera Software\Opera Stable\Extensions\jolakggdcbngpflcjfaencffnenhlddl [2016-07-28]
OPR Extension: (Opera Addons Portal) - C:\Users\Сергей\AppData\Roaming\Opera Software\Opera Stable\Extensions\kphnccinngbmjgpipjlmffcakegnbkdf [2014-08-10]
OPR Extension: (getchrome) - C:\Users\Сергей\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-08-28]
OPR Extension: (OperaWebViewer) - C:\Users\Сергей\AppData\Roaming\extensions\extension_opera [2016-12-27]
OPR Extension: (Opera Solutions) - C:\Users\Сергей\AppData\Roaming\extensions\extensions_opera [2016-12-27]
Task: {1013134D-0EEF-4334-8FCC-F8DC58B91A94} - System32\Tasks\Microsoft\Windows\328D6E080CF3F8C847D9B850BF3B84BARunOnce => C:\Users\Сергей\AppData\Local\Microsoft\4789B8C8AF08D934104F6BADD240A0C8\3B84BAFB058B9D748C8F3FC080328D6E.exe
C:\Users\Сергей\AppData\Local\Microsoft\4789B8C8AF08D934104F6BADD240A0C8\3B84BAFB058B9D748C8F3FC080328D6E.exe
Task: {5408BE3B-AC41-4339-8058-3EE81C2EABA9} - System32\Tasks\Microsoft\Windows\328D6E080CF3F8C847D9B850BF3B84BA => C:\Users\Сергей\AppData\Local\Microsoft\4789B8C8AF08D934104F6BADD240A0C8\3B84BAFB058B9D748C8F3FC080328D6E.exe
Task: {93FF4761-D7F1-40D6-80A5-198C2081DE01} - System32\Tasks\SputnikUpdateTaskUserS-1-5-21-2332147243-3701152189-237777505-1000Core => C:\Users\Сергей\AppData\Local\Sputnik\Update\SputnikUpdate.exe
Task: {C16B8C37-F4D4-4574-87D1-CCBE8C63AE8C} - System32\Tasks\Microsoft\328D6E080CF3F8C847D9B850BF3B84BARunOnce => C:\Users\Сергей\AppData\Local\Microsoft\4789B8C8AF08D934104F6BADD240A0C8\3B84BAFB058B9D748C8F3FC080328D6E.exe
Task: {D04069DB-BD88-421D-ACED-D00C57CADAA0} - System32\Tasks\Microsoft\Windows\A0FDA44DC-20C5-4A15-8B42-97E7769670E6 => C:\ProgramData\Microsoft\Macromed\Flash Player\0FDA44DC-20C5-4A15-8B42-97E7769670E6\419F0D64-E84D-4096-886B-BAA8DAD6A1E3.exe <==== ATTENTION
Task: {D55013E4-483C-4216-9595-85A2DE748B4F} - System32\Tasks\SputnikUpdateTaskUserS-1-5-21-2332147243-3701152189-237777505-1000UA => C:\Users\Сергей\AppData\Local\Sputnik\Update\SputnikUpdate.exe
Task: {EC12BEED-0DEF-456F-A97C-74E08B9F66E3} - System32\Tasks\Microsoft\328D6E080CF3F8C847D9B850BF3B84BA => C:\Users\Сергей\AppData\Local\Microsoft\4789B8C8AF08D934104F6BADD240A0C8\3B84BAFB058B9D748C8F3FC080328D6E.exe
Task: C:\WINDOWS\Tasks\SputnikUpdateTaskUserS-1-5-21-2332147243-3701152189-237777505-1000Core.job => C:\Users\Сергей\AppData\Local\Sputnik\Update\SputnikUpdate.exe
Task: C:\WINDOWS\Tasks\SputnikUpdateTaskUserS-1-5-21-2332147243-3701152189-237777505-1000UA.job => C:\Users\Сергей\AppData\Local\Sputnik\Update\SputnikUpdate.exe
Shortcut: C:\Users\Сергей\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Users\Сергей\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe (No File) <===== Cyrillic
ShortcutWithArgument: C:\Users\Сергей\Desktop\О.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> --load-extension="C:\Users\Сергей\AppData\Roaming\extensions\extensions_opera","C:\Users\Сергей\AppData\Roaming\extensions\extension_opera" <===== Cyrillic
MSCONFIG\startupreg: Войти в ИнтeрнeтRemoveAppchrome => cmd /Q /C del /Q "C:\Users\Сергей\AppData\Local\Temp\NETE30~1.EXE"
MSCONFIG\startupreg: Войти в ИнтeрнeтRemoveAppopera => cmd /Q /C del /Q "C:\Users\Сергей\AppData\Local\Temp\NETE30~2.EXE"
MSCONFIG\startupreg: Войти в ИнтeрнeтRemoveAppoperaold => cmd /Q /C del /Q "C:\Users\Сергей\AppData\Local\Temp\NETE30~3.EXE"
MSCONFIG\startupreg: Войти в ИнтeрнeтRemovePngchrome => cmd /Q /C del /Q "C:\Users\Сергей\AppData\Local\Temp\NETE30~1.EXE"
MSCONFIG\startupreg: Войти в ИнтeрнeтRemovePngopera => cmd /Q /C del /Q "C:\Users\Сергей\AppData\Local\Temp\NETE30~2.EXE"
 
Hosts:
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически

@FireTag · 07.01.2017, 16:17 **[ТС]**

Farbar Recovery Scan Tool выполнил Fix, создал лог, после этого была прекращена его работа, компьютер на перезагрузку не ушёл. Прикрепляю лог.

@severnyj · 07.01.2017, 16:21

А теперь делайте логи по правилам: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@FireTag · 07.01.2017, 16:50 **[ТС]**

Сделал.

@severnyj · 07.01.2017, 16:57

Выполните скрипт в AVZ

Код

begin
 ExecuteFile('schtasks.exe', '/delete /TN "{66CD4DC4-272F-4D24-8F71-D3D03A573A57}" /F', 0, 15000, true);
 DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}');
 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
RebootWindows(true);
end.

Будет выполнена перезагрузка компьютера.

Удалите старые и подготовьте новые логи FRST

@FireTag · 07.01.2017, 17:15 **[ТС]**

Сделал.

@severnyj · 07.01.2017, 17:33

Лога FRST 2, и я написал:

Удалите старые и подготовьте новые логи FRST

@FireTag · 07.01.2017, 17:41 **[ТС]**

Сделал ещё раз.

@severnyj · 07.01.2017, 17:52

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
U4 idsvc; no ImagePath
C:\Users\Сергей\IP_Log_Data.js
C:\Users\Сергей\Network_Meter_Data.js
 
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически

Сообщите, что с проблемой?

@FireTag · 07.01.2017, 18:10 **[ТС]**

Спасибо, пока всё стабильно. Буду наблюдать.

@severnyj · 07.01.2017, 18:14

Напоследок сделайте лог SecurityCheck by glax24: http://safezone.cc/resources/s... ersion=838

@FireTag · 07.01.2017, 18:59 **[ТС]**

В файле.

@severnyj · 07.01.2017, 19:04

Исправляйте, обновляйте:

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Mozilla Firefox 50.0 (x86 en-US) v.50.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

И читайте: Рекомендации после удаления вредоносного ПО

@FireTag · 07.01.2017, 19:05 **[ТС]**

Спасибо!

@severnyj · 07.01.2017, 19:06

Удачи

@FireTag 0 / 0 / 0 Регистрация: 02.02.2016 Сообщений: 25
	07.01.2017, 15:55 [ТС]	2
	Заранее спасибо! 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	07.01.2017, 16:21	5
	А теперь делайте логи по правилам: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	07.01.2017, 16:57	7
	Выполните скрипт в AVZ Код begin ExecuteFile('schtasks.exe', '/delete /TN "{66CD4DC4-272F-4D24-8F71-D3D03A573A57}" /F', 0, 15000, true); DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}'); DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}'); RebootWindows(true); end. Будет выполнена перезагрузка компьютера. Удалите старые и подготовьте новые логи FRST 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	07.01.2017, 17:33	9
	Лога FRST 2, и я написал: Удалите старые и подготовьте новые логи FRST 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	07.01.2017, 17:52	11
	Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool. Cкопируйте в него текст из окна "winbatch" ниже и сохраните. Windows Batch file start CreateRestorePoint: CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi U4 idsvc; no ImagePath C:\Users\Сергей\IP_Log_Data.js C:\Users\Сергей\Network_Meter_Data.js EmptyTemp: Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически Сообщите, что с проблемой? 0

@FireTag 0 / 0 / 0 Регистрация: 02.02.2016 Сообщений: 25
	07.01.2017, 18:10 [ТС]	12
	Спасибо, пока всё стабильно. Буду наблюдать. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	07.01.2017, 18:14	13
	Напоследок сделайте лог SecurityCheck by glax24: http://safezone.cc/resources/s... ersion=838 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	07.01.2017, 19:04	15
	Исправляйте, обновляйте: Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Mozilla Firefox 50.0 (x86 en-US) v.50.0 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ И читайте: Рекомендации после удаления вредоносного ПО 0

@FireTag 0 / 0 / 0 Регистрация: 02.02.2016 Сообщений: 25
	07.01.2017, 19:05 [ТС]	16
	Спасибо! 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	07.01.2017, 19:06	17
	Удачи 0