Перескакивает на сайты казино и другие

@damir1997 · Регистрация: 17.01.2017

Author24 — интернет-сервис помощи студентам

Когда даже не пользуюсь компьютером и браузер даже не открыт, он сам открывает браузер и кидает на сайт с рекламой или сайты с сериалами и начинается просмотр сериала, т.е. сам воспроизводит видео.

@thyrex · 23.08.2017, 20:18

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
ExecuteFile('schtasks.exe', '/delete /TN "1news101comkpzm" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "fpagesnewscomjtrm" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "fpagesnewscomjtrsm" /F', 0, 15000, true);
 TerminateProcessByName('c:\programdata\framework\windows driver.exe');
 TerminateProcessByName('c:\users\Мунар\appdata\local\phoenix browser updater\phoenix browser updater.exe');
 TerminateProcessByName('c:\programdata\windowssql\com surrogate.exe');
 QuarantineFile('C:\Users\Мунар\appdata\roaming\checkers\draughts\draughts.exe','');
 QuarantineFile('C:\Users\Мунар\appdata\local\temp\nsme3ad.tmp','');
 QuarantineFile('C:\Windows\System32\wsaudio.dll','');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll','');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll','');
 QuarantineFile('c:\users\Мунар\appdata\local\phoenix browser updater\phoenix browser updater.exe','');
 QuarantineFile('c:\programdata\framework\windows driver.exe','');
 QuarantineFile('c:\programdata\windowssql\com surrogate.exe','');
 DeleteFile('c:\programdata\windowssql\com surrogate.exe','32');
 DeleteFile('c:\users\Мунар\appdata\local\phoenix browser updater\phoenix browser updater.exe','32');
 DeleteFile('c:\programdata\framework\windows driver.exe','32');
 DeleteFile('C:\ProgramData\Framework\LIBEAY32.dll','32');
 DeleteFile('C:\ProgramData\Framework\Qt5Core.dll','32');
 DeleteFile('C:\ProgramData\Framework\Qt5Network.dll','32');
 DeleteFile('C:\ProgramData\Framework\Qt5WebSockets.dll','32');
 DeleteFile('C:\ProgramData\Framework\ssleay32.dll','32');
 DeleteFile('C:\Windows\TEMP\clearcache.dll','32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll','32');
 DeleteFile('C:\Windows\System32\wsaudio.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Phoenix Browser Updater','32');
 DeleteFile('C:\Users\Мунар\appdata\local\temp\nsme3ad.tmp','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

@damir1997 · 23.08.2017, 21:09 **[ТС]**

все отправил, спасибо

magirus · 23.08.2017, 21:10

Сообщение от thyrex

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

где?

@damir1997 · 23.08.2017, 23:14 **[ТС]**

вот новый лог

@thyrex · 24.08.2017, 18:40

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@damir1997 · 31.08.2017, 15:40 **[ТС]**

пишет что файл может нанести вред, все равно скачать?

@Sandor · 31.08.2017, 16:38

Да.

@damir1997 · 04.09.2017, 14:33 **[ТС]**

отчеты пп 4 и 5

@thyrex · 04.09.2017, 23:00

Удалите эти расширения для браузеров

OPR Extension: (The Safe Surfing)
OPR Extension: (Teddy Protection Lite)

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [palmggefdfeikonghaeongkabmgcagco] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [popaapfjmaabbneljbdejbdjliohmkch] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3833250698-888250822-788399639-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3833250698-888250822-788399639-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3833250698-888250822-788399639-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S2 ihctrl32; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
R2 MinerGate; C:\ProgramData\Framework\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION
S2 wsaudio; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
R2 DirectX11b; C:\ProgramData\DirectX11b\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION
S2 Framework; C:\ProgramData\WindowsSQL\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION
2017-08-17 13:01 - 2017-08-23 23:05 - 000000000 ___RD C:\Users\Все пользователи\Framework
2017-08-17 13:01 - 2017-08-23 23:05 - 000000000 ___RD C:\ProgramData\Framework
2017-08-17 13:01 - 2017-08-23 23:03 - 000000000 ____D C:\Users\Все пользователи\WindowsSQL
2017-08-17 13:01 - 2017-08-23 23:03 - 000000000 ____D C:\ProgramData\WindowsSQL
2017-08-17 13:01 - 2017-08-17 13:01 - 000000000 ____D C:\Users\Все пользователи\DirectX11b
2017-08-17 13:01 - 2017-08-17 13:01 - 000000000 ____D C:\ProgramData\DirectX11b
2017-07-04 16:20 - 2017-08-16 16:52 - 000000093 _____ () C:\Users\Мунар\AppData\Local\Temp\122eb467dd1f8fa71437e6d16748ea43.dll
2016-12-19 21:45 - 2016-12-19 21:45 - 004058608 _____ () C:\Users\Мунар\AppData\Local\Temp\30C86D69122740579DFEAC86A141873F.exe
2017-08-17 12:58 - 2017-08-17 12:59 - 002587864 _____ () C:\Users\Мунар\AppData\Local\Temp\KB1A7D262FBDA27EF0.exe
2016-07-18 13:18 - 2016-07-18 13:18 - 050521320 _____ (Mail.Ru) C:\Users\Мунар\AppData\Local\Temp\KB29BCB252473A479F.exe
2017-08-17 12:58 - 2017-08-17 12:58 - 000399336 _____ (Mail.Ru) C:\Users\Мунар\AppData\Local\Temp\KB55180B9F6C76BA2.exe
2016-08-14 22:34 - 2016-08-14 22:34 - 004423896 _____ () C:\Users\Мунар\AppData\Local\Temp\KB7BC1EFC4109342D9.exe
2016-07-18 16:08 - 2016-07-18 16:09 - 050521320 _____ (Mail.Ru) C:\Users\Мунар\AppData\Local\Temp\KB815DDF261F1D77C3.exe
2016-08-14 22:28 - 2016-08-14 22:28 - 000354024 _____ (Mail.Ru) C:\Users\Мунар\AppData\Local\Temp\KB827DFE8187C1008A.exe
2016-08-14 22:28 - 2016-08-14 22:28 - 004423896 _____ () C:\Users\Мунар\AppData\Local\Temp\KB8764AEB7C4CE4998.exe
2017-07-27 15:16 - 2017-07-27 15:17 - 002578648 _____ () C:\Users\Мунар\AppData\Local\Temp\KB9BD59C54BA6FE1A9.exe
2017-08-01 15:41 - 2017-08-01 15:42 - 002578648 _____ () C:\Users\Мунар\AppData\Local\Temp\KBA7D8B3AC948B661.exe
2016-07-18 16:08 - 2016-07-18 16:08 - 004423896 _____ () C:\Users\Мунар\AppData\Local\Temp\KBAB7466D43CF3D629.exe
2016-07-18 13:18 - 2016-07-18 13:18 - 004423896 _____ () C:\Users\Мунар\AppData\Local\Temp\KBAE11E620DA0A82A5.exe
2017-08-01 15:41 - 2017-08-01 15:41 - 000399336 _____ (Mail.Ru) C:\Users\Мунар\AppData\Local\Temp\KBB17E0DBEDC84C0BB.exe
2016-08-14 22:34 - 2016-08-14 22:34 - 000354024 _____ (Mail.Ru) C:\Users\Мунар\AppData\Local\Temp\KBCFE18D9681219FF3.exe
2016-07-18 13:18 - 2016-07-18 13:18 - 002382768 ____N () C:\Users\Мунар\AppData\Local\Temp\KBDDD6E578174CDF5D.exe
2016-08-13 06:53 - 2016-08-13 06:54 - 004423896 _____ () C:\Users\Мунар\AppData\Local\Temp\KBF114D014995AE469.exe
2016-08-13 06:53 - 2016-08-13 06:54 - 000354024 _____ (Mail.Ru) C:\Users\Мунар\AppData\Local\Temp\KBF1CFBA66E063C003.exe
2017-07-27 15:16 - 2017-07-27 15:16 - 000399336 _____ (Mail.Ru) C:\Users\Мунар\AppData\Local\Temp\KBF30D70A66A914F43.exe
2016-07-18 13:22 - 2016-07-18 13:22 - 004423896 _____ () C:\Users\Мунар\AppData\Local\Temp\KBF33DE632747FCAFF.exe
2016-07-18 13:22 - 2016-07-18 13:22 - 002382768 ____N () C:\Users\Мунар\AppData\Local\Temp\KBF3B6F4AC3E3D877.exe
2016-07-18 13:22 - 2016-07-18 13:24 - 050521320 _____ (Mail.Ru) C:\Users\Мунар\AppData\Local\Temp\KBFAAB5D34D3102609.exe
2016-07-18 13:19 - 2016-07-01 14:23 - 005168856 _____ (Mail.Ru) C:\Users\Мунар\AppData\Local\Temp\MailRuUpdater.exe
2016-08-08 18:10 - 2016-08-08 18:10 - 004423896 _____ () C:\Users\Мунар\AppData\Local\Temp\nmr18s.exe
2016-08-08 18:10 - 2016-08-08 18:10 - 001431936 _____ () C:\Users\Мунар\AppData\Local\Temp\nrn_tmp.exe
2016-07-18 13:19 - 2016-07-18 13:20 - 028190848 _____ (Underberry lp) C:\Users\Мунар\AppData\Local\Temp\nshEAE0.tmp.exe
Task: {46387AFD-F3F4-4AE6-B6A7-45409FCD7225} - \Phoenix Browser Updater -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

@damir1997 · 07.09.2017, 21:09 **[ТС]**

таких расширений у меня нету

@thyrex · 08.09.2017, 22:05

Если бы их не было в Опере, то они вряд ли всплыли бы в логе

@damir1997 · 09.09.2017, 18:54 **[ТС]**

кажется я удалил оперу )

@thyrex · 11.09.2017, 18:40

Проблема решена?

@damir1997 0 / 0 / 0 Регистрация: 17.01.2017 Сообщений: 106
	23.08.2017, 21:09 [ТС]	3
	все отправил, спасибо 0

magirus Почетный модератор 28045 / 15778 / 982 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	23.08.2017, 21:10	4
	Сообщение от thyrex Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. где? 0

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	24.08.2017, 18:40	6
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 0

@damir1997 0 / 0 / 0 Регистрация: 17.01.2017 Сообщений: 106
	31.08.2017, 15:40 [ТС]	7
	пишет что файл может нанести вред, все равно скачать? 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	31.08.2017, 16:38	8
	Да. 0

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	08.09.2017, 22:05	12
	Если бы их не было в Опере, то они вряд ли всплыли бы в логе 0

@damir1997 0 / 0 / 0 Регистрация: 17.01.2017 Сообщений: 106
	09.09.2017, 18:54 [ТС]	13
	кажется я удалил оперу ) 0

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	11.09.2017, 18:40	14
	Проблема решена? 0

Опции темы