Решена Автоматическое открытие сайтов

Статус
В этой теме нельзя размещать новые ответы.

Avrelian

Новый пользователь
Сообщения
15
Реакции
0

Вложения

  • CollectionLog-2016.10.31-17.54.zip
    79.5 KB · Просмотры: 7
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('C:\Program Files\DIMKK0KODO\Q7TZSZQPC.exe');
StopService('qobobuqu');
QuarantineFileF('c:\program files\dimkk0kodo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\program files (x86)\prasufoderght', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\макс\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\макс\appdata\roaming\browsers', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\program files (x86)\anyprotectex', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\макс\appdata\roaming\mydesktop', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\макс\appdata\local\filesystemdriver', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\макс\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\макс\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('C:\Program Files\DIMKK0KODO\Q7TZSZQPC.exe', '');
QuarantineFile('c:\program files (x86)\prasufoderght\stmisstercultlg.dll', '');
QuarantineFile('C:\Users\Макс\AppData\Roaming\5F8A8E56-1434027400-3667-A7E2-AC220B4E947D\nsu7089.tmpfs', '');
QuarantineFile('C:\Users\4D88~1\AppData\Local\Temp\servicesc.exe', '');
QuarantineFile('C:\Users\Макс\AppData\Local\Temp\4OWOAX7V8\4OWOAX7V8.exe', '');
QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
QuarantineFile('C:\Users\Макс\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
QuarantineFile('C:\Users\Макс\AppData\Roaming\Browsers\exe.resworb.bat', '');
QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '');
QuarantineFile('C:\Users\Макс\AppData\Roaming\MyDesktop\linkme.exe', '');
QuarantineFile('C:\Users\Макс\AppData\Local\FileSystemDriver\FileSystemDriver.exe', '');
QuarantineFile('C:\Users\Макс\AppData\Local\fupdate\fupdate.exe', '');
QuarantineFile('C:\Users\Макс\AppData\Local\Hostinstaller\975826238_monster.exe', '');
QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe', '');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job', '64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job', '64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job', '64');
DeleteFile('C:\Windows\Tasks\Windows desktop installer.job', '64');
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "FileSystemDriver" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Windows desktop installer" /F', 0, 15000, true);
DeleteFile('C:\Program Files\DIMKK0KODO\Q7TZSZQPC.exe', '32');
DeleteFile('c:\program files (x86)\prasufoderght\stmisstercultlg.dll', '32');
DeleteFile('C:\Users\Макс\AppData\Roaming\5F8A8E56-1434027400-3667-A7E2-AC220B4E947D\nsu7089.tmpfs', '32');
DeleteFile('C:\Users\4D88~1\AppData\Local\Temp\servicesc.exe', '32');
DeleteFile('C:\Users\Макс\AppData\Local\Temp\4OWOAX7V8\4OWOAX7V8.exe', '32');
DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
DeleteFile('C:\Users\Макс\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
DeleteFile('C:\Users\Макс\AppData\Roaming\Browsers\exe.resworb.bat', '32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '32');
DeleteFile('C:\Users\Макс\AppData\Roaming\MyDesktop\linkme.exe', '32');
DeleteFile('C:\Users\Макс\AppData\Local\FileSystemDriver\FileSystemDriver.exe', '32');
DeleteFile('C:\Users\Макс\AppData\Local\fupdate\fupdate.exe', '32');
DeleteFile('C:\Users\Макс\AppData\Local\Hostinstaller\975826238_monster.exe', '32');
DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe', '32');
DeleteFileMask('c:\program files\dimkk0kodo', '*', true);
DeleteFileMask('c:\program files (x86)\prasufoderght', '*', true);
DeleteFileMask('c:\program files\spacesoundpro', '*', true);
DeleteFileMask('c:\users\макс\appdata\local\smartweb', '*', true);
DeleteFileMask('c:\users\макс\appdata\roaming\browsers', '*', true);
DeleteFileMask('c:\program files (x86)\anyprotectex', '*', true);
DeleteFileMask('c:\users\макс\appdata\roaming\mydesktop', '*', true);
DeleteFileMask('c:\users\макс\appdata\local\filesystemdriver', '*', true);
DeleteFileMask('c:\users\макс\appdata\local\fupdate', '*', true);
DeleteFileMask('c:\users\макс\appdata\local\hostinstaller', '*', true);
DeleteDirectory('c:\program files\dimkk0kodo');
DeleteDirectory('c:\program files (x86)\prasufoderght');
DeleteDirectory('c:\program files\spacesoundpro');
DeleteDirectory('c:\users\макс\appdata\local\smartweb');
DeleteDirectory('c:\users\макс\appdata\roaming\browsers');
DeleteDirectory('c:\program files (x86)\anyprotectex');
DeleteDirectory('c:\users\макс\appdata\roaming\mydesktop');
DeleteDirectory('c:\users\макс\appdata\local\filesystemdriver');
DeleteDirectory('c:\users\макс\appdata\local\fupdate');
DeleteDirectory('c:\users\макс\appdata\local\hostinstaller');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','servicesc.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fuvlezaook');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','02J1OUXI7V');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HLNVLEYMW1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Stecos\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
DeleteService('qobobuqu');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Выполнил, файл quarantine.zip отправил по форме Отправка файлов в антивирусные лаборатории
 
Avrelian,
зачем вы выполняете чужой скрипт !?
Он к вашему случаю не имеет никакого отношения !
 
Да хз )) думал ускорить процесс )
 
Пофиксите в HijackThis следующие строчки:
Код:
O22 - ScheduledTask: (Ready) InternetA - {root} - "C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" http://bkrfdf.xyz/ball

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Вложения

  • Безымянный.jpg
    Безымянный.jpg
    137.1 KB · Просмотры: 46
Avrelian, продолжайте дальше по списку
 
Последнее редактирование:
Отчет AdwCleaner
 

Вложения

  • AdwCleaner[S2].txt
    6.4 KB · Просмотры: 9
Кстати вот еще одна вещь для информации, explorer по умолчанию автоматически устанавливается основным. Сам я пользуюсь хромом, и яндекс браузером, на которых проблемы с рекламой нет. Всегда ставлю по умолчанию основным - хром, но потом видимо explorer как то переключает на себя. Ссылки на всю рекламу закинул в черный список антивируса, теперь вылазят просто странички с заблочеными сайтами, но все равно хорошего мало.
 
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Пришлось несколько раз делать чистку в AdwCleaner, т.к. зависала система и приходилось принудительно перезагружать. Зависает при удалении службы USGuard (так и не удалил) См. отчет №9.
Farbar Recovery Scan Tool сканировать?
Зависает при удалении службы USGuard
прошу прощения, служба UCGuard
Farbar Recovery Scan Tool отсканировал.
 

Вложения

  • AdwCleaner[S5].txt
    3.9 KB · Просмотры: 0
  • AdwCleaner[S4].txt
    6.6 KB · Просмотры: 0
  • AdwCleaner[S3].txt
    6.5 KB · Просмотры: 0
  • AdwCleaner[S6].txt
    3.1 KB · Просмотры: 0
  • AdwCleaner[S7].txt
    3.2 KB · Просмотры: 0
  • AdwCleaner[S8].txt
    3.3 KB · Просмотры: 0
  • AdwCleaner[S9].txt
    2.6 KB · Просмотры: 0
  • AdwCleaner[S2].txt
    6.4 KB · Просмотры: 0
  • AdwCleaner[C2].txt
    3.8 KB · Просмотры: 0
  • AdwCleaner[S9].txt
    2.6 KB · Просмотры: 3
  • Addition.txt
    39 KB · Просмотры: 3
  • FRST.txt
    76.8 KB · Просмотры: 5
  • Shortcut.txt
    61 KB · Просмотры: 0
Менеджер браузеров - ваше?
Эти сайты вам знакомы?
Код:
premiumgamepro.com
secret-deneg.ru
vezenie.club
vlk-casino4.com

Зачистите хвосты аваст:
https://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Task: {4108DE30-06FD-4FD7-81F3-3B15C30CF92D} - System32\Tasks\InternetA => Iexplore.exe hxxp://bkrfdf.xyz/ball
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Restriction - Windows Defender <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF HKLM\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF => not found
FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF => not found
FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF => not found
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF => not found


EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите как дела.
 
Менеджер браузеров - специально не ставил, видимо с какой то программой встал. Даже не знаю зачем он нужен.
premiumgamepro.com
secret-deneg.ru
vezenie.club
vlk-casino4.com
Из перечисленных сайтов знаю только vezenie.club это один из сайтов которые выскакивали в браузере (я его закинул в черный список антивируса (см вложение)
По поводу зачистки хвостов avast - вроде все сделал по мануалу. Непонятен результат (вышло или нет, не знаю)
 

Вложения

  • Fixlog.txt
    3.4 KB · Просмотры: 1
  • черный список.jpg
    черный список.jpg
    32.4 KB · Просмотры: 48
Ну вот уже пол дня прошло, пока никаких реклам и непроизвольных открытий страниц не было.
Спасибо большое!
Расскажите где пряталась зараза?
 
Менеджер браузеров удалите если не ваше,повторите новые логи frst.
 
Новые логи frst
 

Вложения

  • Fixlog.txt
    3 KB · Просмотры: 0
Сорян :Pardon:
 

Вложения

  • Addition.txt
    40 KB · Просмотры: 1
  • FRST.txt
    78 KB · Просмотры: 3
  • Shortcut.txt
    61.1 KB · Просмотры: 0
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
2016-11-09 17:55 - 2016-11-10 09:15 - 00197760 _____ () C:\Users\Buhgalter\AppData\Local\Temp\mcse64_00.dll
2016-11-09 17:55 - 2016-11-10 09:15 - 00179840 _____ () C:\Users\Buhgalter\AppData\Local\Temp\mcse32_00.dll
2016-11-10 09:17 - 2016-11-10 09:17 - 00239104 _____ () C:\Users\Buhgalter\AppData\Local\Temp\rn32.dll
2016-11-10 09:17 - 2016-11-10 09:17 - 00555008 _____ () C:\Users\Buhgalter\AppData\Local\Temp\nr_proto_32185758427010.tmp
IE restricted site: HKU\S-1-5-21-2011737770-3410199955-185553667-1000\...\premiumgamepro.com -> hxxp://premiumgamepro.com
IE restricted site: HKU\S-1-5-21-2011737770-3410199955-185553667-1000\...\secret-deneg.ru -> hxxp://secret-deneg.ru
IE restricted site: HKU\S-1-5-21-2011737770-3410199955-185553667-1000\...\vezenie.club -> hxxp://vezenie.club
IE restricted site: HKU\S-1-5-21-2011737770-3410199955-185553667-1000\...\vlk-casino4.com -> hxxp://vlk-casino4.com
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\Buhgalter\AppData\Local\Temp\mcse64_00.dll [2016-11-10] ()
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\Buhgalter\AppData\Local\Temp\mcse64_00.dll [2016-11-10] ()
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\Buhgalter\AppData\Local\Temp\mcse64_00.dll [2016-11-10] ()
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\Buhgalter\AppData\Local\Temp\mcse32_00.dll [2016-11-10] ()
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\Buhgalter\AppData\Local\Temp\mcse32_00.dll [2016-11-10] ()
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\Buhgalter\AppData\Local\Temp\mcse32_00.dll [2016-11-10] ()
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Файлы аваста удалите вручную
C:\Windows\system32\drivers\aswHwid.sys
C:\Windows\System32\DRIVERS\aswNetNd6.sys
C:\Windows\system32\drivers\aswNetSec.sys
C:\Windows\system32\drivers\aswStm.sys


Сообщите есть ли еще проблемы.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу