Автоматически открываются дополнительные окна в браузере. Очистка утилитой AdwCleaner результатов не дала

@olga1978 · Регистрация: 06.06.2015

При входе в Оперу открываются дополнительные вкладки - рекламные и игровые сайты (всегда разные), тоже самое - при клике на других сайтах. Читала похожие темы на форуме, при помощи AdwCleaner обнаружилось вредоносное ПО и много чего ещё. Но кое-что так и не удалось удалить, так как не знаю как. Лог и текстовый файл с вирусом из реестра прилагаю.

@thyrex · 06.06.2015, 19:35

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Алёнка\AppData\Roaming\Browsers\exe.emorhc.bat','');
 DeleteFile('C:\Users\Алёнка\AppData\Roaming\Browsers\exe.emorhc.bat','32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

http://dragokas.com/tools/move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи по правилам

@olga1978 · 06.06.2015, 21:15 **[ТС]**

выполнила

@olga1978 · 06.06.2015, 21:22 **[ТС]**

Проблема решена, спасибо!

@olga1978 · 06.06.2015, 21:32 **[ТС]**

Вроде бы не всё послала. Всё снова перепроверила с помощью всех высланных программ.

@thyrex · 06.06.2015, 23:43

Где новые логи по правилам?

@olga1978 · 07.06.2015, 08:09 **[ТС]**

Извините, просто уже запуталась со всеми этими отчётами... Может быть, вот это:

@thyrex · 07.06.2015, 09:50

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

@olga1978 · 07.06.2015, 13:02 **[ТС]**

Сделано

@thyrex · 07.06.2015, 14:31

Папку C:\Users\Алёнка\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 удалите вручную после выполнения написанной ниже рекомендации

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код

CreateRestorePoint:
HKLM-x32\...\Run: [kxesc] => "c:\program files (x86)\kingsoft\kingsoft antiviruskxetray.exe" -autorun
CHR Extension: (Универсальный перевод для Chrome) - C:\Users\Алёнка\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp [2015-05-23]
OPR Extension: (Универсальный перевод для Chrome) - C:\Users\Алёнка\AppData\Roaming\Opera Software\Opera Stable\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp [2015-05-23]
S1 kisnetm; \??\c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm64.sys [X]
S2 ksapi64; \??\C:\Windows\system32\drivers\ksapi64.sys [X]
2015-05-23 15:37 - 2015-05-23 15:37 - 00000000 ____D C:\Users\Алёнка\AppData\Roaming\Homepager
2015-05-25 11:29 - 2015-05-04 16:48 - 00000000 ____D C:\Users\Алёнка\AppData\Roaming\Browsers
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

@olga1978 · 07.06.2015, 17:54 **[ТС]**

Выполнила

@thyrex · 07.06.2015, 20:26

Что с проблемой?

@olga1978 · 07.06.2015, 20:39 **[ТС]**

Она ушла после первой очистки. Правда на некоторых сайтах, в основном, с фильмами, по прежнему всплывают окна, но опера их блокирует (это, видимо, из-за рекламы сайтов). Но при запуске программы дополнительные окна не открываются. Спасибо большое за помощь!

Добавлено через 6 минут
Вы в некоторых темах рекомендуете adguard установить, но у меня либо зависает установка, либо резко завершается и пишет, что программа уже установлена, но её нигде нет, и ярлыка тоже...? Почему так? Использую аваст, но может ещё есть что-то, что обезопасит компьютер, ведь приходится и работать в инете, и так, посмотреть что-нибудь...

@severnyj · 07.06.2015, 21:32

Сообщение от olga1978

Вы в некоторых темах рекомендуете adguard установить, но у меня либо зависает установка, либо резко завершается и пишет, что программа уже установлена, но её нигде нет, и ярлыка тоже...? Почему так?

Мы не рекомендуем, где это вы нашли)) Спросите на форуме поддержки программы.

Сообщение от olga1978

Использую аваст, но может ещё есть что-то, что обезопасит компьютер, ведь приходится и работать в инете, и так, посмотреть что-нибудь...

Как там говорится в анекдоте-то: межушный ганглий Вас спасет, а если без сарказма, то голова и бдительность.

Хотите блок рекламы ставьте Admuncher: https://www.admuncher.com/ и uBlock: https://addons.opera.com/ru/extensions/details/ublock/?display=en https://chrome.google.com/webstore/d...jbkeiagm?hl=ru https://addons.mozilla.org/ru/firefox/addon/ublock/

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck .txt
Скопируйте содержимое файла в свое следующее сообщение.

@olga1978 · 07.06.2015, 23:18 **[ТС]**

Выполнено.

SecurityCheck by glax24 v.1.3.0.18 [02.06.15]
WebSite: www.safezone.cc
DateLog: 08.06.2015 00:02:32
Path starting: C:\Users\Алёнка\AppData\Local\ Temp\SecurityCheck\SecurityChe ck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Алёнка
VersionXML: 1.30is
______________________________ ______________________________ _______________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 10.04.2015 08:43:28
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: c:\PROGRA~2\opera\Launcher.exe
Системный диск: C: ФС: [NTFS] Емкость: [97.6 Гб] Занято: [74.2 Гб] Свободно: [23.4 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17041 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено (-1)
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
---------------------------- [ Antivirus_WMI ] ----------------------------
avast! Antivirus (включен и обновлен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и устарел)
avast! Antivirus (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.10.2.2218
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.30214.0 Внимание! Скачать обновления
Skype™ 7.3 v.7.3.101 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 (64-bit) v.8.0.0 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u45-windows-x64.exe)^
Java Auto Updater v.2.8.00.132
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 17 ActiveX v.17.0.0.169 Внимание! Скачать обновления
Adobe Flash Player 17 NPAPI v.17.0.0.169 Внимание! Скачать обновления
Adobe Flash Player 17 PPAPI v.17.0.0.188
------------------------------- [ Browser ] -------------------------------
Google Chrome v.43.0.2357.81
Opera Stable 29.0.1795.60 v.29.0.1795.60
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Opera\29.0.1795.60_0\ope ra.exe v.29.0.1795.60
---------------------------- [ UnwantedApps ] -----------------------------
Homepager Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------

Добавлено через 14 минут
Да, по поводу программ антивирусных... Нашла их в других темах, похожих на мою, насчёт выплывающих окон)))) разные годы, видимо)))

@severnyj · 07.06.2015, 23:24

Включите UAC:

Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Обновите программы по ссылкам из Вашего поста.

Программу: Homepager - деинсталлируйте.

Прочтите: Рекомендации после удаления вредоносного ПО

@Sandor · 08.06.2015, 08:56

Сообщение от olga1978

Нашла их в других темах, похожих на мою

Дайте ссылку, пожалуйста.

@olga1978 · 08.06.2015, 14:51 **[ТС]**

Мне сейчас не найти, просто выходила на похожие темы и читала. Если вдруг найду, то отпишусь.

@olga1978 · 08.06.2015, 16:06 **[ТС]**

После проверки в реестре по-прежнему болтается какая-то хрень... Но так-то проблема решена. Окна больше не всплывают, компьютер быстрее загружается, ошибки многие исправлены, обновления тоже скачала.

@shestale · 08.06.2015, 17:24

Сообщение от olga1978

После проверки в реестре по-прежнему болтается какая-то хрень...

Вы про это?

Данные Удалено : [x64] HKLM\SOFTWARE\Microsoft\Window s\CurrentVersion\Internet Settings [ProxyServer]

@olga1978 0 / 0 / 0 Регистрация: 06.06.2015 Сообщений: 13
	06.06.2015, 21:22 [ТС]	4
	Проблема решена, спасибо! 0

@thyrex 7610 / 5081 / 843 Регистрация: 06.09.2009 Сообщений: 20,174
	06.06.2015, 23:43	6
	Где новые логи по правилам? 0

@thyrex 7610 / 5081 / 843 Регистрация: 06.09.2009 Сообщений: 20,174
	07.06.2015, 09:50	8
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan** отмечены "List BCD" и "Driver MD5". [img]http://i.********/B92LqRQ.png[/img] Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt**). Пожалуйста, прикрепите его в следующем сообщении. 0

@thyrex 7610 / 5081 / 843 Регистрация: 06.09.2009 Сообщений: 20,174
	07.06.2015, 14:31	10
	Папку C:\Users\Алёнка\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 удалите вручную после выполнения написанной ниже рекомендации Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: Код CreateRestorePoint: HKLM-x32\...\Run: [kxesc] => "c:\program files (x86)\kingsoft\kingsoft antiviruskxetray.exe" -autorun CHR Extension: (Универсальный перевод для Chrome) - C:\Users\Алёнка\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp [2015-05-23] OPR Extension: (Универсальный перевод для Chrome) - C:\Users\Алёнка\AppData\Roaming\Opera Software\Opera Stable\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp [2015-05-23] S1 kisnetm; \??\c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm64.sys [X] S2 ksapi64; \??\C:\Windows\system32\drivers\ksapi64.sys [X] 2015-05-23 15:37 - 2015-05-23 15:37 - 00000000 ____D C:\Users\Алёнка\AppData\Roaming\Homepager 2015-05-25 11:29 - 2015-05-04 16:48 - 00000000 ____D C:\Users\Алёнка\AppData\Roaming\Browsers Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. 0

@thyrex 7610 / 5081 / 843 Регистрация: 06.09.2009 Сообщений: 20,174
	07.06.2015, 20:26	12
	Что с проблемой? 0

@olga1978 0 / 0 / 0 Регистрация: 06.06.2015 Сообщений: 13
	07.06.2015, 20:39 [ТС]	13
	Она ушла после первой очистки. Правда на некоторых сайтах, в основном, с фильмами, по прежнему всплывают окна, но опера их блокирует (это, видимо, из-за рекламы сайтов). Но при запуске программы дополнительные окна не открываются. Спасибо большое за помощь! Добавлено через 6 минут Вы в некоторых темах рекомендуете adguard установить, но у меня либо зависает установка, либо резко завершается и пишет, что программа уже установлена, но её нигде нет, и ярлыка тоже...? Почему так? Использую аваст, но может ещё есть что-то, что обезопасит компьютер, ведь приходится и работать в инете, и так, посмотреть что-нибудь... 0

@severnyj 3593 / 1872 / 276 Регистрация: 04.04.2012 Сообщений: 6,980
	07.06.2015, 21:32	14
	Сообщение от olga1978 Вы в некоторых темах рекомендуете adguard установить, но у меня либо зависает установка, либо резко завершается и пишет, что программа уже установлена, но её нигде нет, и ярлыка тоже...? Почему так? Мы не рекомендуем, где это вы нашли)) Спросите на форуме поддержки программы. Сообщение от olga1978 Использую аваст, но может ещё есть что-то, что обезопасит компьютер, ведь приходится и работать в инете, и так, посмотреть что-нибудь... Как там говорится в анекдоте-то: межушный ганглий Вас спасет, а если без сарказма, то голова и бдительность. Хотите блок рекламы ставьте Admuncher: https://www.admuncher.com/ и uBlock: https://addons.opera.com/ru/extensions/details/ublock/?display=en https://chrome.google.com/webstore/d...jbkeiagm?hl=ru https://addons.mozilla.org/ru/firefox/addon/ublock/ Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck .txt Скопируйте содержимое файла в свое следующее сообщение. 0

@olga1978 0 / 0 / 0 Регистрация: 06.06.2015 Сообщений: 13
	07.06.2015, 23:18 [ТС]	15
	Выполнено. SecurityCheck by glax24 v.1.3.0.18 [02.06.15] WebSite: www.safezone.cc DateLog: 08.06.2015 00:02:32 Path starting: C:\Users\Алёнка\AppData\Local\ Temp\SecurityCheck\SecurityChe ck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Алёнка VersionXML: 1.30is ______________________________ ______________________________ _______________ Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 10.04.2015 08:43:28 Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: c:\PROGRA~2\opera\Launcher.exe Системный диск: C: ФС: [NTFS] Емкость: [97.6 Гб] Занято: [74.2 Гб] Свободно: [23.4 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17041 Внимание! Скачать обновления Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен Автоматическое обновление отключено (-1) Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает ---------------------------- [ Antivirus_WMI ] ---------------------------- avast! Antivirus (включен и обновлен) --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и устарел) avast! Antivirus (включен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Avast Free Antivirus v.10.2.2218 --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Silverlight v.5.1.30214.0 Внимание! Скачать обновления Skype™ 7.3 v.7.3.101 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 (64-bit) v.8.0.0 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u45-windows-x64.exe)^ Java Auto Updater v.2.8.00.132 --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 17 ActiveX v.17.0.0.169 Внимание! Скачать обновления Adobe Flash Player 17 NPAPI v.17.0.0.169 Внимание! Скачать обновления Adobe Flash Player 17 PPAPI v.17.0.0.188 ------------------------------- [ Browser ] ------------------------------- Google Chrome v.43.0.2357.81 Opera Stable 29.0.1795.60 v.29.0.1795.60 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Opera\29.0.1795.60_0\ope ra.exe v.29.0.1795.60 ---------------------------- [ UnwantedApps ] ----------------------------- Homepager Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! ----------------------------- [ End of Log ] ------------------------------ Добавлено через 14 минут Да, по поводу программ антивирусных... Нашла их в других темах, похожих на мою, насчёт выплывающих окон)))) разные годы, видимо))) 0

@severnyj 3593 / 1872 / 276 Регистрация: 04.04.2012 Сообщений: 6,980
	07.06.2015, 23:24	16
	Включите UAC: Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Обновите программы по ссылкам из Вашего поста. Программу: Homepager - деинсталлируйте. Прочтите: Рекомендации после удаления вредоносного ПО 0

@Sandor 14818 / 12397 / 2089 Регистрация: 08.10.2012 Сообщений: 50,377
	08.06.2015, 08:56	17
	Сообщение от olga1978 Нашла их в других темах, похожих на мою Дайте ссылку, пожалуйста. 0

@olga1978 0 / 0 / 0 Регистрация: 06.06.2015 Сообщений: 13
	08.06.2015, 14:51 [ТС]	18
	Мне сейчас не найти, просто выходила на похожие темы и читала. Если вдруг найду, то отпишусь. 0

@shestale 8605 / 4175 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	08.06.2015, 17:24	20
	Сообщение от olga1978 После проверки в реестре по-прежнему болтается какая-то хрень... Вы про это? Данные Удалено : [x64] HKLM\SOFTWARE\Microsoft\Window s\CurrentVersion\Internet Settings [ProxyServer] 0