Самопроизвольно открывающиеся рекламные и поисковые ссылки

@palladya · Регистрация: 01.10.2016

Author24 — интернет-сервис помощи студентам

Привет! После неудачного скачивания торрент-файла система оказалась заражена.
Проведена чистка Dr. Web, Anti Malware, анализ и исправление реестра через CCleaner.
От вкладок и сбоя полноценного функционирования ВК это не спасло.

@thyrex · 06.04.2017, 20:49

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files (x86)\filter2\2\cppwindowsservice.exe');
 SetServiceStart('CppWindowsService', 4);
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys','');
 QuarantineFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe','');
 DeleteFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe','32');
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys','32');
 DeleteService('CppWindowsService');
 DeleteService('netfilter2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hmswwdyssq');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке
http://dragokas.com/tools/move.gif
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

@palladya · 08.04.2017, 06:36 **[ТС]**

Done

@thyrex · 08.04.2017, 21:06

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@palladya · 10.04.2017, 15:41 **[ТС]**

Done

@thyrex · 11.04.2017, 21:09

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
HKU\S-1-5-21-394584198-3301656505-3576096750-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=96A959426B8FB8295E572C65AD168C7A&utm_d=20160930
Toolbar: HKLM-x32 - No Name - {3507FA00-ADA2-4A02-99B9-51AD26CA9120} -  No File
FF Homepage: Mozilla\Firefox\Profiles\brgtyp2h.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=96A959426B8FB8295E572C65AD168C7A&utm_d=20160930
CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=sy&ts=1435634284&z=e9956dad32573c640dd4974gazec3wdq8c5zao5b8g&from=cmi&uid=ST500LT012-9WS142_S0V76AA5XXXXS0V76AA5
S1 netfilter2; system32\drivers\netfilter2.sys [X]
2017-04-09 01:47 - 2017-04-09 01:47 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign742ba90b59807cfb
2017-04-09 01:31 - 2017-04-09 01:31 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsignafd16eb9a9e3f152
2017-04-09 01:26 - 2017-04-09 01:26 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign01d24e258535d8f3
2017-04-05 16:10 - 2017-04-05 16:10 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign809817735f24d688
2017-04-05 16:10 - 2017-04-05 16:10 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign59abb741d47bd3cc
2017-04-05 16:10 - 2017-04-05 16:10 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign586cd817467f45a7
2017-04-05 13:53 - 2017-04-05 13:53 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsigne973900076890380
2017-04-05 13:53 - 2017-04-05 13:53 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign889a71c98802c9b9
2017-04-05 13:53 - 2017-04-05 13:53 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign47d40473fa9ea6ac
2017-04-05 04:09 - 2017-04-05 04:09 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign60a367b9f69edea7
2017-04-04 14:24 - 2017-04-04 14:24 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign00245fdd5cb7a8e5
2017-04-04 14:19 - 2017-04-04 14:19 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsignfc23ed3cec389269
2017-04-04 14:19 - 2017-04-04 14:19 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign8c5c7012e4bbfea4
2017-04-04 14:18 - 2017-04-04 14:18 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsigne846f15eff239043
2017-04-04 14:18 - 2017-04-04 14:18 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign73744bdacdd1fccc
2017-04-04 14:18 - 2017-04-04 14:18 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign64ce6f2e98f8ae35
2017-04-04 14:09 - 2017-04-04 14:09 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsigna927dcd5ba7e993b
2017-04-04 14:09 - 2017-04-04 14:09 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign42bd66572c600210
2017-04-04 14:08 - 2017-04-04 14:08 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsignd69a2b0e3f8c428e
2017-04-04 14:08 - 2017-04-04 14:08 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign5ecb180f03457e07
2017-04-04 14:08 - 2017-04-04 14:08 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign4724eec5b42acda6
2017-04-04 14:08 - 2017-04-04 14:08 - 00000000 ____D C:\Users\Polly\AppData\Local\Tempzxpsign1e56bfda6caa75e9
2017-04-04 11:25 - 2017-04-04 11:25 - 00003434 _____ C:\Windows\System32\Tasks\wupdate
2017-04-04 11:25 - 2017-04-04 11:25 - 00000000 ____D C:\Users\Polly\AppData\Local\wupdate
2017-04-08 21:08 - 2017-04-08 21:06 - 0971744 ____N () C:\Users\Polly\AppData\Local\Temp\A3E5.tmp.exe
2017-04-08 21:07 - 2017-04-08 21:06 - 0971744 _____ () C:\Users\Polly\AppData\Local\Temp\C6EF.tmp.exe
2017-04-10 22:20 - 2017-04-10 22:19 - 0799736 _____ (AVI Maker Ltd) C:\Users\Polly\AppData\Local\Temp\F112.tmp.exe
Task: {C5ECFAF7-BAE0-4556-94AD-F32F3A6DF182} - System32\Tasks\wupdate => C:\Users\Polly\AppData\Local\wupdate\wupdate.exe [2017-04-04] () <==== ATTENTION
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [121]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [121]
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

@palladya · 12.04.2017, 12:37 **[ТС]**

Вот он

@thyrex · 15.04.2017, 20:16

Проблема решена?

@palladya · 17.04.2017, 15:29 **[ТС]**

Ещё нет

@palladya · 19.04.2017, 00:41 **[ТС]**

Так. Всё становится хуже и хуже. Ссылки открываются чаще, нередко привязаны к обновлению страницы.
Браза утром заглючил, стал выдавать чёрный экран при разворачивании свёрнутого окна хрома, затем самостоятельно изменил разрешение экрана на минимальное. После возвращения в исходное, кусок экрана был чёрным.
Дополнительная беда - выключение компа путём завершения работы не срабатывает. Он переходит к экрану "завершение работы" и в этом состоянии зависает. Не обратила на эту ерунду внимания, когда открывала ветку, а теперь понимаю, что так происходить начало ровно с момента появления самооткрывающихся ссылок.
Эта дрянь по прежнему не вышкребается ни чисткой реестра, ни Dr. Web Cureit не обнаруживается.
Ад.

@thyrex · 19.04.2017, 23:32

Отключите ВСЕ установленные расширения для браузеров и проверьте проблему

@palladya · 20.04.2017, 06:04 **[ТС]**

Я уже даже удалила почти все.
Не помогло.

@thyrex · 23.04.2017, 09:09

Сделайте лог МВАМ

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	06.04.2017, 20:49	2
	Выполните скрипт в AVZ Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\program files (x86)\filter2\2\cppwindowsservice.exe'); SetServiceStart('CppWindowsService', 4); QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys',''); QuarantineFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe',''); DeleteFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe','32'); DeleteFile('C:\Windows\system32\drivers\netfilter2.sys','32'); DeleteService('CppWindowsService'); DeleteService('netfilter2'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hmswwdyssq'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ Код begin CreateQurantineArchive('c:\quarantine.zip'); end. Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!! Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке http://dragokas.com/tools/move.gif 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger 1

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	08.04.2017, 21:06	4
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	15.04.2017, 20:16	8
	Проблема решена? 0

@palladya 0 / 0 / 0 Регистрация: 01.10.2016 Сообщений: 14
	17.04.2017, 15:29 [ТС]	9
	Ещё нет 0

@palladya 0 / 0 / 0 Регистрация: 01.10.2016 Сообщений: 14
	19.04.2017, 00:41 [ТС]	10
	Так. Всё становится хуже и хуже. Ссылки открываются чаще, нередко привязаны к обновлению страницы. Браза утром заглючил, стал выдавать чёрный экран при разворачивании свёрнутого окна хрома, затем самостоятельно изменил разрешение экрана на минимальное. После возвращения в исходное, кусок экрана был чёрным. Дополнительная беда - выключение компа путём завершения работы не срабатывает. Он переходит к экрану "завершение работы" и в этом состоянии зависает. Не обратила на эту ерунду внимания, когда открывала ветку, а теперь понимаю, что так происходить начало ровно с момента появления самооткрывающихся ссылок. Эта дрянь по прежнему не вышкребается ни чисткой реестра, ни Dr. Web Cureit не обнаруживается. Ад. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	19.04.2017, 23:32	11
	Отключите ВСЕ установленные расширения для браузеров и проверьте проблему 0

@palladya 0 / 0 / 0 Регистрация: 01.10.2016 Сообщений: 14
	20.04.2017, 06:04 [ТС]	12
	Я уже даже удалила почти все. Не помогло. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	23.04.2017, 09:09	13
	Сделайте лог МВАМ 0