Вирус,который произвольно открывает браузер опера с рекламными вкладками

@mama23 · Регистрация: 29.04.2017

Author24 — интернет-сервис помощи студентам

в компьютер попал вирус,который произвольно открывает браузер опера с рекламными вкладками

@Persk · 30.04.2017, 08:53

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@mama23 · 30.04.2017, 19:29 **[ТС]**

ок,прикрепляю логи

@Sandor · 03.05.2017, 12:37

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя mama23. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Амиго
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Windows\TEMP\clearcache.dll', '');
 QuarantineFile('C:\Program Files\zaxar\update.dll', '');
 QuarantineFile('all-journalnethilxozsm', '');
 ExecuteFile('schtasks.exe', '/delete /TN "all-journalnethilxozsm" /F', 0, 15000, true);
 DeleteFile('C:\Windows\TEMP\clearcache.dll', '32');
 DeleteFile('C:\Program Files\zaxar\update.dll', '32');
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteDirectory('c:\program files\zaxar');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@mama23 · 19.05.2017, 13:37 **[ТС]**

логи прикрепляю

@Sandor · 19.05.2017, 17:06

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@mama23 · 19.05.2017, 23:10 **[ТС]**

логи прикрепляю

@Sandor · 21.05.2017, 22:25

Не хватает отчета FRST.txt

@mama23 · 25.06.2017, 19:06 **[ТС]**

прикрепляю лог

@Sandor · 26.06.2017, 10:50

Такие большие перерывы в лечении чреваты повторным заражением. Постарайтесь отвечать быстрее.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BBA7A50CE-A875-44BB-9722-D7E033C8A412%7D&gp=811041
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
Task: {3537631D-B31F-433D-8576-194A9858B6EC} - System32\Tasks\MailRuUpdateTask => C:\Users\Админ\AppData\Local\Mail.Ru\MailRuUpdater.exe 
AlternateDataStreams: C:\Users\Админ\Desktop\письмо.jpeg:3or4kl4x13tuuug3Byamue2s4b [87]
AlternateDataStreams: C:\Users\Админ\Desktop\письмо.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Сообщите что с проблемой.

@mama23 · 23.07.2017, 08:54 **[ТС]**

спасибо,все отлично вирусов нет,долго не отвечал по причине отьездов

@Sandor · 23.07.2017, 20:39

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@mama23 0 / 0 / 0 Регистрация: 29.04.2017 Сообщений: 6
		1
	Вирус,который произвольно открывает браузер опера с рекламными вкладками 29.04.2017, 21:31. Показов 1070. Ответов 11 Метки нет (Все метки) в компьютер попал вирус,который произвольно открывает браузер опера с рекламными вкладками 0

@Persk Модератор 8736 / 3361 / 244 Регистрация: 25.10.2010 Сообщений: 13,601
	30.04.2017, 08:53	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 1

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,090
	03.05.2017, 12:37	4
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя mama23. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: Амиго Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('c:\program files\zaxar', '.exe, .dll, .sys, .bat, .vbs, .js, .tmp', true, '', 0 ,0); QuarantineFile('C:\Windows\TEMP\clearcache.dll', ''); QuarantineFile('C:\Program Files\zaxar\update.dll', ''); QuarantineFile('all-journalnethilxozsm', ''); ExecuteFile('schtasks.exe', '/delete /TN "all-journalnethilxozsm" /F', 0, 15000, true); DeleteFile('C:\Windows\TEMP\clearcache.dll', '32'); DeleteFile('C:\Program Files\zaxar\update.dll', '32'); DeleteFileMask('c:\program files\zaxar', '', true); DeleteDirectory('c:\program files\zaxar'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Подготовьте и прикрепите лог сканирования AdwCleaner. 1

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,090
	19.05.2017, 17:06	6
	1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,090
	21.05.2017, 22:25	8
	Не хватает отчета FRST.txt 1

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,090
	26.06.2017, 10:50	10
	Такие большие перерывы в лечении чреваты повторным заражением. Постарайтесь отвечать быстрее. Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: CreateRestorePoint: CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BBA7A50CE-A875-44BB-9722-D7E033C8A412%7D&gp=811041 CHR DefaultSearchKeyword: Default -> go.mail.ru CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} Task: {3537631D-B31F-433D-8576-194A9858B6EC} - System32\Tasks\MailRuUpdateTask => C:\Users\Админ\AppData\Local\Mail.Ru\MailRuUpdater.exe AlternateDataStreams: C:\Users\Админ\Desktop\письмо.jpeg:3or4kl4x13tuuug3Byamue2s4b [87] AlternateDataStreams: C:\Users\Админ\Desktop\письмо.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Сообщите что с проблемой. 1

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,090
	23.07.2017, 20:39	12
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0