Загрузка сайтов с рекламой при запуске firefox и opera, непонятные папки в programdata

@vic1425 · Регистрация: 08.10.2015

Author24 — интернет-сервис помощи студентам

Прошу помощи! При запуске firefox и opera загружается сайт с рекламой, иногда не активны ссылки на сайтах, при нажатии левой кнопки мыши ссылки активируются, но открывается сайт с рекламой. Создаются непонятные папки в c:\ProgramData\ (oOwmagVTVQ; MpgIaUbeZW; RHSBQkis и т.д.) в них файлы c расширением из цифр и *.bat.
При запуске Skype или браузеров какие-то запросы на доступ к базе с паролями...

@shestale · 28.02.2016, 06:34

Внимание! Рекомендации написаны специально для vic1425. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\contentprotector', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFileF('C:\ProgramData\TimeTasks', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFile('c:\program files\contentprotector\contentprotector.exe', '');
 QuarantineFile('c:\program files\contentprotector\contentprotectorupdate.exe', '');
 QuarantineFile('C:\Program Files\ContentProtector\SSLEAY32.dll', '');
 QuarantineFile('C:\Program Files\ContentProtector\LIBEAY32.dll', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe', '');
 DeleteFile('c:\program files\contentprotector\contentprotector.exe', '32');
 DeleteFile('c:\program files\contentprotector\contentprotectorupdate.exe', '32');
 DeleteFile('C:\Program Files\ContentProtector\SSLEAY32.dll', '32');
 DeleteFile('C:\Program Files\ContentProtector\LIBEAY32.dll', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe', '32');
 DeleteFileMask('c:\program files\contentprotector', '*', true);
 DeleteFileMask('C:\ProgramData\TimeTasks', '*', true);
 DeleteDirectory('c:\program files\contentprotector');
 DeleteDirectory('C:\ProgramData\TimeTasks');
 DeleteFileMask('C:\ProgramData\qgmRrkh', '*', true);
 DeleteDirectory('C:\ProgramData\qgmRrkh');
 DeleteFileMask('C:\ProgramData\MpgIaUbeZW', '*', true);
 DeleteDirectory('C:\ProgramData\MpgIaUbeZW');
 DeleteFileMask('C:\ProgramData\oOwmagVTVQ', '*', true);
 DeleteDirectory('C:\ProgramData\oOwmagVTVQ');
 DeleteFileMask('C:\ProgramData\RHSBQkis', '*', true);
 DeleteDirectory('C:\ProgramData\RHSBQkis');
 DeleteFileMask('C:\ProgramData\XZiEcwaj', '*', true);
 DeleteDirectory('C:\ProgramData\XZiEcwaj');
 DeleteFileMask('C:\ProgramData\BTWXRmU', '*', true);
 DeleteDirectory('C:\ProgramData\BTWXRmU');
 DeleteFileMask('C:\ProgramData\YHUPilPekb', '*', true);
 DeleteDirectory('C:\ProgramData\YHUPilPekb');
 DeleteFileMask('C:\Program Files\Zaxar', '*', true);
 DeleteDirectory('C:\Program Files\Zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 DeleteService('ContentProtector');
 DeleteService('ContentProtectorUpdate');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(10);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:
Windows Batch file
1 2 3
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!
Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.

@vic1425 · 28.02.2016, 11:45 **[ТС]**

Отправил quarantine.zip на почту, сюда не загрузился. Во вложении логи AdwCleaner и ClearLNK

@shestale · 28.02.2016, 11:50

Сообщение от vic1425

Отправил quarantine.zip на почту, сюда не загрузился.

А сюда ЗАПРЕЩЕНО!!! Выше красными жирными буквами написано!
+
Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.

@vic1425 · 28.02.2016, 12:01 **[ТС]**

Все сделал. Что далее?

@shestale · 28.02.2016, 12:16

Удалили, а лог где?

@vic1425 · 28.02.2016, 13:30 **[ТС]**

вот лог

@shestale · 28.02.2016, 13:33

Подготовьте логи Farbar Recovery Scan Tool

@vic1425 · 28.02.2016, 13:48 **[ТС]**

логи farbar

@shestale · 28.02.2016, 14:48

Выполните скрипт в Farbar Recovery Scan Tool

Windows Batch file

start
CreateRestorePoint:
AlternateDataStreams: C:\Users\Владимир:id
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
EmptyTemp:
Reboot:
end

+
Почистите кэш и куки в браузерах.

@vic1425 · 28.02.2016, 16:47 **[ТС]**

Почистил, лог farbar ниже.

@shestale · 28.02.2016, 18:15

Проблема решена?
+
Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@vic1425 · 28.02.2016, 19:19 **[ТС]**

SecurityCheck by glax24 & Severnyj v.1.4.0.35 [23.01.16]
WebSite: www.safezone.cc
DateLog: 28.02.2016 19:17:43
Path starting: C:\Users\Владимир\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Владимир
VersionXML: 2.53is-25.02.2016
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 03.07.2013 07:36:29
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Opera\Launcher.exe
Системный диск: C: ФС: [NTFS] Емкость: [96.2 Гб] Занято: [81.9 Гб] Свободно: [14.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 10.0.9200.16618 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2013-07-03 16:23:47
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Учетная запись гостя включена. Пароль не установлен.
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Internet Security (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (включен и обновлен)
Windows Defender (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.16.0.0.614
-------------------------- [ SecurityUtilities ] --------------------------
Malwarebytes Anti-Malware, версия 2.0.4.1028 v.2.0.4.1028
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader
Архиватор WinRAR
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.2.1.28086 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u74-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Служба работает
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 20 ActiveX v.20.0.0.306
Adobe Flash Player 20 NPAPI v.20.0.0.306
Adobe Flash Player 20 PPAPI v.20.0.0.306
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 44.0.2 (x86 ru) v.44.0.2
Opera Stable 35.0.2066.82 v.35.0.2066.82
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird 17.0.7 (x86 ru) v.17.0.7 Внимание! Скачать обновления
The Bat! Professional v5.4 v.5.4.0.0 Внимание! Скачать обновления
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.44.0.2.5884
avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 16.0.0\avpui.exe v.16.0.0.625
mbamscheduler.exe
---------------------------- [ UnwantedApps ] -----------------------------
Driver Booster 2.1 v.2.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
IObit Uninstaller v.5.1.0.20 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
EaseUS MobiSaver for Android version 4.1 v.4.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------

Огромное вам спасибо! пока все нормально.

@shestale · 28.02.2016, 19:20

Выполните рекомендации после удаления вредоносного ПО

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	28.02.2016, 11:50	4
	Сообщение от vic1425 Отправил quarantine.zip на почту, сюда не загрузился. А сюда ЗАПРЕЩЕНО!!! Выше красными жирными буквами написано! + Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. 0

@vic1425 0 / 0 / 0 Регистрация: 08.10.2015 Сообщений: 7
	28.02.2016, 12:01 [ТС]	5
	Все сделал. Что далее? 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	28.02.2016, 12:16	6
	Удалили, а лог где? 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	28.02.2016, 13:33	8
	Подготовьте логи Farbar Recovery Scan Tool 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	28.02.2016, 18:15	12
	Проблема решена? + Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24 Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам. 0

@vic1425 0 / 0 / 0 Регистрация: 08.10.2015 Сообщений: 7
	28.02.2016, 19:19 [ТС]	13
	SecurityCheck by glax24 & Severnyj v.1.4.0.35 [23.01.16] WebSite: www.safezone.cc DateLog: 28.02.2016 19:17:43 Path starting: C:\Users\Владимир\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Владимир VersionXML: 2.53is-25.02.2016 ___________________________________________________________________________ Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419) Дата установки ОС: 03.07.2013 07:36:29 Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files\Opera\Launcher.exe Системный диск: C: ФС: [NTFS] Емкость: [96.2 Гб] Занято: [81.9 Гб] Свободно: [14.3 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 10.0.9200.16618 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Дата установки обновлений: 2013-07-03 16:23:47 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена Учетная запись гостя включена. Пароль не установлен. ---------------------------- [ Antivirus_WMI ] ---------------------------- Kaspersky Internet Security (включен и обновлен) ---------------------------- [ Firewall_WMI ] ----------------------------- Kaspersky Internet Security (включен) --------------------------- [ AntiSpyware_WMI ] --------------------------- Kaspersky Internet Security (включен и обновлен) Windows Defender (включен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Kaspersky Internet Security v.16.0.0.614 -------------------------- [ SecurityUtilities ] -------------------------- Malwarebytes Anti-Malware, версия 2.0.4.1028 v.2.0.4.1028 --------------------------- [ OtherUtilities ] ---------------------------- Foxit Reader Архиватор WinRAR --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.2.1.28086 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u74-windows-i586.exe)^ --------------------------- [ AppleProduction ] --------------------------- ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Служба работает --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 20 ActiveX v.20.0.0.306 Adobe Flash Player 20 NPAPI v.20.0.0.306 Adobe Flash Player 20 PPAPI v.20.0.0.306 ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 44.0.2 (x86 ru) v.44.0.2 Opera Stable 35.0.2066.82 v.35.0.2066.82 ----------------------------- [ EmailClient ] ----------------------------- Mozilla Thunderbird 17.0.7 (x86 ru) v.17.0.7 Внимание! Скачать обновления The Bat! Professional v5.4 v.5.4.0.0 Внимание! Скачать обновления --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files\Mozilla Firefox\firefox.exe v.44.0.2.5884 avp.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 16.0.0\avpui.exe v.16.0.0.625 mbamscheduler.exe ---------------------------- [ UnwantedApps ] ----------------------------- Driver Booster 2.1 v.2.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. IObit Uninstaller v.5.1.0.20 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. EaseUS MobiSaver for Android version 4.1 v.4.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! ----------------------------- [ End of Log ] ------------------------------ Огромное вам спасибо! пока все нормально. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	28.02.2016, 19:20	14
	Выполните рекомендации после удаления вредоносного ПО 0