Решена Автоматическое открытие браузера (вкладок)

Статус
В этой теме нельзя размещать новые ответы.

Damby

Активный пользователь
Сообщения
48
Реакции
1
Который раз уже создаю здесь тему. Достали вирусы, но с таким еще не сталкивался.
Браузер сам открывается с различного рода вкладками, в основном рекламного характера. Как будто стоит таймер и сайты сами по себе открываются.
 

Вложения

  • CollectionLog-2017.06.03-16.55.zip
    78.7 KB · Просмотры: 7

VexMD

Ветеран
Сообщения
810
Реакции
175
1) Деинсталлируйте через "Программы и компоненты":
Код:
Служба автоматического обновления программ
Ultimate-Discounter Browser
Unity Web Player

2) Закройте все программы, временно выгрузите антивирус, файервол и прочее защитное ПО.
Запустите AVZ через контекстное меню проводника "Запуск от имени Администратора".
Выполните скрипт в AVZ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\ultimate-discounter browser\udservice.exe');
 SetServiceStart('Coupons Browser Update Service', 4);
 StopService('Coupons Browser Update Service');
 QuarantineFile('c:\program files (x86)\ultimate-discounter browser\udservice.exe','');
 DeleteFile('c:\program files (x86)\ultimate-discounter browser\udservice.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "topnews17netpoism" /F', 0, 15000, true);
 DeleteService('Coupons Browser Update Service');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки архив quarantine.zip из папки ...\AutoLogger\AutoLogger\AVZ отправьте на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять файл quarantine.zip не нужно !

3) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK ClearLNK - удаление параметров запуска у ярлыков
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

4) Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите утилиту через правую кн. мыши от имени администратора, нажмите кнопку Сканировать (Scan) и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S*].txt.
Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Damby

Активный пользователь
Сообщения
48
Реакции
1
Вот
 

Вложения

  • Check_Browsers_LNK.log
    16.1 KB · Просмотры: 1
  • AdwCleaner[S0].txt
    8.7 KB · Просмотры: 2

VexMD

Ветеран
Сообщения
810
Реакции
175
Не тот лог приложили - вместо CheckBrowserLnk.log надо ClearLNK-<Дата>.log.

1) Запустите повторно AdwCleaner (by Malwarebytes) через правую кн. мыши от имени администратора и нажмите кнопку "Scan" (Сканировать).
Если пользуетесь Youtube Downloader, то снимите галку с папки C:\Program Files (x86)\ytd video downloader.
Нажмите кнопку "Clean"(Очистить) и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении:
C:\AdwCleaner\AdwCleaner[C*].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.

2) Скачайте FRST (для вашей системы 64-Bit файл) и сохраните на Рабочем столе.
Запустите программу двойным щелчком.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой Shortcut.txt.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Упакуйте эти отчеты в один архив и приложите к следующему сообщению.
Подробнее читайте в Как подготовить лог Farbar Recovery Scan Tool
 

Damby

Активный пользователь
Сообщения
48
Реакции
1
Сделал.
 

Вложения

  • AdwCleaner[C0].txt
    9.3 KB · Просмотры: 2
  • Logs.rar
    38 KB · Просмотры: 3

VexMD

Ветеран
Сообщения
810
Реакции
175
1) Создайте текстовый файл fixlist.txt на рабочем столе, где расположен FRST64.exe.
Cкопируйте в него нижеследующий текст и сохраните:
Код:
start
CreateRestorePoint:
HKU\S-1-5-21-181000615-3261950118-2443793598-1000\...\MountPoints2: {33bc1fd8-c84b-11e6-919b-20cf303a4f88} - H:\autorun.exe
HKU\S-1-5-21-181000615-3261950118-2443793598-1000\...\MountPoints2: {b07c80b3-dfec-11e6-92c0-20cf303a4f88} - H:\autorun.exe
HKU\S-1-5-21-181000615-3261950118-2443793598-1000\...\MountPoints2: {e6a32da7-ee0a-11e6-9045-20cf303a4f88} - H:\autorun.exe
HKU\S-1-5-21-181000615-3261950118-2443793598-1000\...\MountPoints2: {f4570d4a-868a-11e4-a02d-b763f6f4996d} - F:\autorun.exe
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts-x32: Restriction <======= ATTENTION
CHR NewTab: Default -> "active": true,"entry": "chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B44689786-9972-4007-B28F-CE47CBAAE278%7D&gp=811041
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]
S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X]
S3 kxwdmdrv; system32\drivers\kx.sys [X]
S0 oem-drv64; system32\DRIVERS\oem-drv64.sys [X]
S3 panda_url_filteringd; \??\C:\Program Files\Panda Security URL Filtering\panda_url_filteringd.sys [X]
2017-06-01 21:26 - 2017-06-03 23:51 - 00000000 ____D C:\Users\123\AppData\LocalLow\Unity
2017-06-01 21:26 - 2017-06-03 23:51 - 00000000 ____D C:\Users\123\AppData\Local\Unity
AlternateDataStreams: C:\Users\123\Desktop\10.05.17 КУРСОВАЯ 2017.docx:AFP_AfpInfo [130]
AlternateDataStreams: C:\Users\123\Desktop\10.05.17 КУРСОВАЯ 2017.docx:com.apple.metadatakMDLabel_6xgojk5vawhlgylxqqcbj4jyuq [180]
AlternateDataStreams: C:\Users\123\Desktop\10.05.17 КУРСОВАЯ 2017.docx:com.apple.quarantine [32]
Shortcut: C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Viber\Viber(Compatibility Mode).lnk -> C:\Users\123\AppData\Local\Viber\Viber.exe (No File)
Shortcut: C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Viber\Viber.lnk -> C:\Users\123\AppData\Local\Viber\Viber.exe (No File)
Shortcut: C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UmmyVideoDownloader\UmmyVideoDownloader.lnk -> C:\Users\123\AppData\Local\UmmyVideoDownloader\UmmyVideoDownloader.exe (No File)
Shortcut: C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UmmyVideoDownloader\Uninstall.lnk -> C:\Users\123\AppData\Local\UmmyVideoDownloader\unins000.exe (No File)
Shortcut: C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UmmyVideoDownloader\Help\English.lnk -> C:\Users\123\AppData\Local\UmmyVideoDownloader\1.7.2.4\help\Ummy_eng.pdf (No File)
Shortcut: C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UmmyVideoDownloader\Help\Русский.lnk -> C:\Users\123\AppData\Local\UmmyVideoDownloader\1.7.2.4\help\Ummy_rus.pdf (No File)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlylinkDC++ x64\FlylinkDC++ x64.lnk -> G:\Programs\Flylink DC++\FlylinkDC_x64.exe (No File)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlylinkDC++ x64\Деинсталлировать FlylinkDC++ x64.lnk -> G:\Programs\Flylink DC++\unins000.exe (No File)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlylinkDC++ x64\Лицензия.lnk -> G:\Programs\Flylink DC++\license_ru-RU.rtf (No File)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlylinkDC++ x64\О программе.lnk -> G:\Programs\Flylink DC++\readme_ru-RU.rtf (No File)
Shortcut: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\FlylinkDC++ x64\FlylinkDC++ x64.lnk -> G:\Programs\Flylink DC++\FlylinkDC_x64.exe (No File)
Shortcut: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\FlylinkDC++ x64\Деинсталлировать FlylinkDC++ x64.lnk -> G:\Programs\Flylink DC++\unins000.exe (No File)
Shortcut: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\FlylinkDC++ x64\Лицензия.lnk -> G:\Programs\Flylink DC++\license_ru-RU.rtf (No File)
Shortcut: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\FlylinkDC++ x64\О программе.lnk -> G:\Programs\Flylink DC++\readme_ru-RU.rtf (No File)
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите.
Программа создаст лог-файл Fixlog.txt.
Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
(Имейте ввиду, что из браузеров будут удалены история посещений и страницы быстрого доступа).
Подробнее читайте в этом руководстве.

2) Если проблем не осталось, то:
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите через правую кнопку мыши - Запустить от имени администратора.
Если увидите предупреждение от вашего фаерволла относительно программы SecurityCheck, то не блокируйте ее работу.
После окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Приложите файл C:\SecurityCheck\SecurityCheck.txt к следующему сообщению.
 

Damby

Активный пользователь
Сообщения
48
Реакции
1
Сделано.
 

Вложения

  • Fixlog.txt
    10.3 KB · Просмотры: 1
  • SecurityCheck.txt
    9.9 KB · Просмотры: 2

VexMD

Ветеран
Сообщения
810
Реакции
175
1) Выполните рекомендуемые обновления:

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
VLC media player v.2.2.4 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50901.0 Внимание! Скачать обновления
FileZilla Client 3.17.0.1 v.3.17.0.1 Внимание! Скачать обновления
TeamViewer 12 v.12.0.72365 Внимание! Скачать обновления
Skype™ 7.33 v.7.33.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43580 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

2) Деинсталлируйте использованные при лечении утилиты:
а) Запустите AdwCleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

б) Остальные утилиты лечения и папки, созданные утилитами (C:\FRST, C:\SecurityCheck, ...\Autologger) можно просто удалить.

3) Прочтите и выполните Рекомендации после удаления вредоносного ПО
 

VexMD

Ветеран
Сообщения
810
Реакции
175
Damby,
возник вопрос - у вас сейчас установлен kX Audio Driver или уже удален ?
Папка C:\Program Files (x86)\kX Audio Driver имеется или удалена ?
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу