Решена Самооткрывающиеся вкладки

Статус
В этой теме нельзя размещать новые ответы.

AndreyTv

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте, проблема как у всех) вкладки в хроме сами открываются и перенаправляют на разные сайты. Чаще всего это сайт akisho.rи
 

Вложения

  • CollectionLog-2016.11.27-10.35.zip
    88.4 KB · Просмотры: 1
c:\users\андрей\appdata\roaming\pbot - вам знаком этот чат-бот? Вы его сами установили?
 
Хорошо. Ждите.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\андрей\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\андрей\appdata\roaming\pbot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\андрей\appdata\local\testmenu', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\андрей\appdata\local\immediatehelp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\андрей\appdata\local\lastnews', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\андрей\appdata\local\validatelife', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\Андрей\appdata\local\filterstart\filterstart.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\FilterOptions\regCheck.vbs', '');
 QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '');
 QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\R', '');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\PBot\launchall.py', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\FileSystemOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\TestMenu\regCheck.vbs', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\ImmediateHelp\regCheck.vbs', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\LastNews\regCheck.vbs', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\ValidateLife\regCheck.vbs', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\DateOption\regCheck.vbs', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\rightchose\regCheck.vbs', '');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Manifest Line Mgr" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Standart Request Manager" /F', 0, 15000, true);
 DeleteFile('c:\users\Андрей\appdata\local\filterstart\filterstart.exe', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\FilterOptions\regCheck.vbs', '32');
 DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '32');
 DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\R', '32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\PBot\launchall.py', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\TestMenu\regCheck.vbs', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\LastNews\regCheck.vbs', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\ValidateLife\regCheck.vbs', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\DateOption\regCheck.vbs', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\rightchose\regCheck.vbs', '32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '32');
 DeleteFileMask('c:\users\андрей\appdata\local\filterstart', '*', true);
 DeleteFileMask('c:\users\андрей\appdata\roaming\pbot', '*', true);
 DeleteFileMask('c:\users\андрей\appdata\local\testmenu', '*', true);
 DeleteFileMask('c:\users\андрей\appdata\local\immediatehelp', '*', true);
 DeleteFileMask('c:\users\андрей\appdata\local\lastnews', '*', true);
 DeleteFileMask('c:\users\андрей\appdata\local\validatelife', '*', true);
 DeleteFileMask('c:\program files (x86)\screenup', '*', true);
 DeleteDirectory('c:\users\андрей\appdata\local\filterstart');
 DeleteDirectory('c:\users\андрей\appdata\roaming\pbot');
 DeleteDirectory('c:\users\андрей\appdata\local\testmenu');
 DeleteDirectory('c:\users\андрей\appdata\local\immediatehelp');
 DeleteDirectory('c:\users\андрей\appdata\local\lastnews');
 DeleteDirectory('c:\users\андрей\appdata\local\validatelife');
 DeleteDirectory('c:\program files (x86)\screenup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков.

Подготовьте лог AdwCleaner.
 
Клинером очистку не проводил, только отчет сделал
 

Вложения

  • AdwCleaner[S6].txt
    3.1 KB · Просмотры: 1
Вот:
 

Вложения

  • ClearLNK-27.11.2016_11-52.log
    2.4 KB · Просмотры: 1
Хорошо. Делайте дальше.
 
Клинер лог или что-то другое ?
 

Вложения

  • AdwCleaner[C5].txt
    2.7 KB · Просмотры: 1
Клинер))
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
 
SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: SafeZone.cc
DateLog: 27.11.2016 12:28:03
Path starting: C:\Users\Андрей\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Андрей
VersionXML: 3.54is-25.11.2016
___________________________________________________________________________

Windows 10(6.3.14393) (x64) CoreSingleLanguage Lang: Russian(0419)
Дата установки ОС: 23.10.2016 00:48:02
Статус лицензии: Windows(R), CoreSingleLanguage edition Срок истечения многопользовательской активации: 61076 мин.
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 253754 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [118.7 Гб] Занято: [54.3 Гб] Свободно: [64.4 Гб]
——————————————————————————————— [ Windows ] ———————————————————————————————
Internet Explorer 11.447.14393.0
Контроль учётных записей пользователя включен

Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Восстановление системы отключено
—————————————————————————————— [ MS Office ] ——————————————————————————————
Microsoft Office 2016 x86 v.16.0.4266.1001
———————————————————————————— [ Antivirus_WMI ] ————————————————————————————
Windows Defender (выключен и обновлен)
——————————————————————————— [ FirewallWindows ] ———————————————————————————
Брандмауэр Windows (MpsSvc) - Служба работает
——————————————————————————— [ AntiSpyware_WMI ] ———————————————————————————
Windows Defender (выключен и обновлен)
——————————————————————————— [ OtherUtilities ] ————————————————————————————
7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^

VLC media player v.2.2.4
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50709.0 Внимание! Скачать обновления
————————————————————————————————— [ P2P ] —————————————————————————————————

µTorrent v.3.4.9.42923 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
———————————————————————————————— [ Java ] —————————————————————————————————
Java 8 Update 102 (64-bit) v.8.0.1020.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-x64.exe)^

Java 8 Update 102 v.8.0.1020.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^
——————————————————————————— [ AppleProduction ] ———————————————————————————

Bonjour v.2.0.4.0 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^

Служба Bonjour (Bonjour Service) - Служба работает
——————————————————————————————— [ Browser ] ———————————————————————————————
Google Chrome v.54.0.2840.99
——————————————————————————— [ RunningProcess ] ————————————————————————————
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.54.0.2840.99
—————————————————— [ AntivirusFirewallProcessServices ] ———————————————————
C:\Program Files\Windows Defender\MsMpEng.exe v.4.10.14393.0
C:\Program Files\Windows Defender\MSASCui.exe v.4.10.14393.187
Служба Защитника Windows (WinDefend) - Служба работает
Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена
———————————————————————————— [ UnwantedApps ] —————————————————————————————
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
ScreenUp v.1.7 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
————————————————————————————— [ End of Log ] ——————————————————————————————

Исследование системы завершено.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу