Заражен Хром и не только

@in sane · Регистрация: 18.06.2016

Добрый день!
Я заразился!
До этого был у вас, вы помогли, к сожалению снова в ю торренте забыл снять галочку и набрал дряни
Ссылки в Хроме на левые сайты + казино "Вулкан" + музыка левая играет иногда, реклама там + сижу такой и кто-то в строке поиска у меня пишет

Это вообще как так?))

Касперский ничего не нашел, как обычно

Помогите плз, лог прикреплен

@Sandor · 20.09.2016, 09:27

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя in sane. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\user\appdata\local\adobe\ppapi\aa37f9d6-1e2c-4ee0-8838-5ffb79fa122b', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\user\AppData\Local\Adobe\PPAPI\AA37F9D6-1E2C-4EE0-8838-5FFB79FA122B\4C7396D4-1983-4811-9DAF-54B7C5A24DC9.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AAA37F9D6-1E2C-4EE0-8838-5FFB79FA122B" /F', 0, 15000, true);
 DeleteFile('C:\Users\user\AppData\Local\Adobe\PPAPI\AA37F9D6-1E2C-4EE0-8838-5FFB79FA122B\4C7396D4-1983-4811-9DAF-54B7C5A24DC9.exe', '32');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@in sane · 20.09.2016, 12:45 **[ТС]**

Добрый день!

Удалил.
1) Выполнил
2) Прикрепил карантин
3) Перетащил. Лог прикрепляю
4) AdwCleaner лог прикрепляю

Проблема не исчезла иногда выходит переадресация на левые сайты

@severnyj · 20.09.2016, 12:47

Удалите все найденное в AdwCleaner: https://www.cyberforum.ru/post6500085.html Лог после удаления прикрепите

@in sane · 20.09.2016, 12:53 **[ТС]**

Удалил. Лог прикрепляю

Проблема не исчезла. Уже лучше, но лезут футбольные сайты

@Sandor · 20.09.2016, 12:56

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@in sane · 20.09.2016, 13:04 **[ТС]**

Готово. Не поместились, упаковал

@Sandor · 20.09.2016, 13:13

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
FF DefaultSearchEngine: Поиск@Mail.Ru
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Homepage: hxxp://mail.ru/cnt/10445?gp=811021
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-09-19]
FF Extension: (Поиск@Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-09-19]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820329"
OPR Extension: (Google Sheets) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-06-19]
2016-09-20 12:52 - 2016-09-20 12:52 - 00000000 ____D C:\translation
2016-09-20 12:52 - 2016-09-20 12:52 - 00000000 ____D C:\sounds
2016-09-20 12:52 - 2016-09-20 12:52 - 00000000 ____D C:\smiles
2016-09-20 12:52 - 2016-09-20 12:52 - 00000000 ____D C:\skin_cache
2016-09-19 16:57 - 2016-09-19 16:58 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-09-19 16:57 - 2016-09-19 16:58 - 00000000 ____D C:\ProgramData\ProductData
2016-09-19 16:57 - 2016-09-19 16:57 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS
2016-09-19 16:57 - 2016-09-19 16:57 - 00002998 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (user)
2016-09-19 16:57 - 2016-09-19 16:57 - 00000000 ____D C:\WINDOWS\IObit
2016-09-19 16:57 - 2016-09-19 16:57 - 00000000 ____D C:\Users\user\ReportSender
2016-09-19 16:57 - 2016-09-19 16:57 - 00000000 ____D C:\Users\user\AppData\Roaming\NotepadPlusPlusApp
2016-09-19 16:57 - 2016-09-19 16:57 - 00000000 ____D C:\Users\user\AppData\Roaming\IObit
2016-09-19 16:57 - 2016-03-07 14:45 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-09-19 16:57 - 2016-03-07 14:45 - 00000000 ____D C:\Users\user\AppData\LocalLow\IObit
2016-09-19 16:57 - 2016-03-07 14:45 - 00000000 ____D C:\ProgramData\IObit
Task: {0AACBC2A-71A8-4E48-BCFD-6C46F50C5664} - System32\Tasks\Microsoft\Windows\Multimedia\ReportSender => C:\Users\user\ReportSender\ReportSender.exe [2016-09-05] ()
Task: {DD98DE50-36AB-4490-BB86-331D56BA6613} - System32\Tasks\Driver Booster SkipUAC (user) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
HKU\S-1-5-21-2445809124-2658947995-1678092403-1001\Software\Classes\.scr: scrfile =>  <===== ATTENTION
FirewallRules: [{1F4D642F-6430-4551-BE3C-18BB1146AB43}] => (Allow) C:\Users\user\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@in sane · 20.09.2016, 13:20 **[ТС]**

Все сделал, только в конце почему-то компьютер не перезагрузился. Я его сам перезагрузил, fixlog прилагаю

@Sandor · 20.09.2016, 13:25

Сообщение от in sane

Я его сам перезагрузил

Поторопились, надо было подождать.

Что сейчас с проблемой?

@in sane · 20.09.2016, 13:28 **[ТС]**

Я подождал пару минут, вообще ничего не происходило, поэтому перезагрузил..

Проблема не проявляет себя! Надеюсь что все ок

@Sandor · 20.09.2016, 13:31

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@in sane · 20.09.2016, 15:55 **[ТС]**

1. Деинсталировал
2. Прикрепляю

Спасибо и удачи вам )

@Sandor · 20.09.2016, 15:57

--------------------------------- [ IM ] ----------------------------------
Skype™ 7.0 v.7.0.102 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.8.42576 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat XI Pro v.11.0.16 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.51.0.2704.103 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@Sandor 17792 / 14219 / 2622 Регистрация: 08.10.2012 Сообщений: 57,806
	20.09.2016, 09:27	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя in sane. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\users\user\appdata\local\adobe\ppapi\aa37f9d6-1e2c-4ee0-8838-5ffb79fa122b', '', true, '', 0 ,0); QuarantineFile('C:\Users\user\AppData\Local\Adobe\PPAPI\AA37F9D6-1E2C-4EE0-8838-5FFB79FA122B\4C7396D4-1983-4811-9DAF-54B7C5A24DC9.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AAA37F9D6-1E2C-4EE0-8838-5FFB79FA122B" /F', 0, 15000, true); DeleteFile('C:\Users\user\AppData\Local\Adobe\PPAPI\AA37F9D6-1E2C-4EE0-8838-5FFB79FA122B\4C7396D4-1983-4811-9DAF-54B7C5A24DC9.exe', '32'); ExecuteSysClean; ExecuteRepair(1); ExecuteRepair(3); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip* из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@severnyj 3832 / 2063 / 327 Регистрация: 04.04.2012 Сообщений: 7,601
	20.09.2016, 12:47	4
	Удалите все найденное в AdwCleaner: https://www.cyberforum.ru/post6500085.html Лог после удаления прикрепите 1

@Sandor 17792 / 14219 / 2622 Регистрация: 08.10.2012 Сообщений: 57,806
	20.09.2016, 12:56	6
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 17792 / 14219 / 2622 Регистрация: 08.10.2012 Сообщений: 57,806
	20.09.2016, 13:25	10
	Сообщение от in sane Я его сам перезагрузил Поторопились, надо было подождать. Что сейчас с проблемой? 0

@in sane 0 / 0 / 0 Регистрация: 18.06.2016 Сообщений: 17
	20.09.2016, 13:28 [ТС]	11
	Я подождал пару минут, вообще ничего не происходило, поэтому перезагрузил.. Проблема не проявляет себя! Надеюсь что все ок 0

@Sandor 17792 / 14219 / 2622 Регистрация: 08.10.2012 Сообщений: 57,806
	20.09.2016, 13:31	12
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 17792 / 14219 / 2622 Регистрация: 08.10.2012 Сообщений: 57,806
	20.09.2016, 15:57	14
	--------------------------------- [ IM ] ---------------------------------- Skype™ 7.0 v.7.0.102 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.8.42576 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat XI Pro v.11.0.16 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Google Chrome v.51.0.2704.103 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Прочтите и выполните Рекомендации после удаления вредоносного ПО 0

Опции темы