Самопроизвольное открытие вкладок во всех браузерах

[Unoword 0]

Добрый день!

В любом из браузеров самопроизвольно открываются вкладки с рекламой,

либо осуществляется самостоятельный переход на страницу с рекламой на действующей вкладке.

Полная проверка не принесла результатов.

Нужна помощь в устранение данной не контролируемой активности посторонних программ.

Спасибо!

CollectionLog-2016.08.21-20.39.zip

[SQ 831]

Здравствуйте,

HiJackThis профиксить (HiJackThis из каталога AutoLogger)

O4 - HKLM\..\Policies\Explorer\Run: [2767701F07124EAB26E284EDE276D036SB] "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --safebrowser
O17 - HKLM\System\CSS\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.142.174
O17 - HKLM\System\CSS\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.143.172
O17 - HKLM\System\CSS\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.142.174
O17 - HKLM\System\CSS\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.143.172
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.142.174
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.143.172
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.142.174
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.143.172
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.142.174
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.143.172
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.142.174
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.143.172
O22 - ScheduledTask: (Ready) 2767701F07124EAB26E284EDE276D036 - \Microsoft - "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --setresetup
O22 - ScheduledTask: (Ready) 2767701F07124EAB26E284EDE276D036 - \Microsoft\Windows - "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --setresetup
O22 - ScheduledTask: (Ready) 2767701F07124EAB26E284EDE276D036SB - \Microsoft - "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) 2767701F07124EAB26E284EDE276D036SB - \Microsoft\Windows - "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files\Kinoroom Browser\krbrowser.exe" (file missing)
O22 - ScheduledTask: (Ready) ReimageUpdater - {root} - C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe run_task (file missing)

Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов:

8.8.8.8
8.8.4.4

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2767701F07124EAB26E284EDE276D036SB');
 DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe','32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{1044C617-ECDF-DDC8-8DE2-2B29925D5512}','32');
 DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\2767701F07124EAB26E284EDE276D036SB','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\2767701F07124EAB26E284EDE276D036','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\2767701F07124EAB26E284EDE276D036SB','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\2767701F07124EAB26E284EDE276D036','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)



• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Unoword 0]

 отчет о работе ClearLNK и лог ADWCleaner прикреплен

quarantine.zip по адресу newvirus@kaspersky.com отправлен

Проблема осталась.

ClearLNK-22.08.2016_20-34.log

AdwCleanerS0.txt

[SQ 831]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Unoword 0]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Файлы, которые были созданы после перезагрузки прикрепил.

После перезагрузки запустил ADWCleaner снова.

Отчеты также прикрепил.

Действие повторил, отчеты прикрепил.

Проблема осталась

AdwCleanerC0.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

AdwCleanerC2.txt

AdwCleanerS2.txt

[SQ 831]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Unoword 0]

Отчеты прикрепил

Перестала запускаться Мозила, выдает такое сообщение: "Не удалось загрузить ваш профиль "Firefox". Возможно, он отсутствует или не доступен"

Addition.txt

FRST.txt

[SQ 831]

Какие из следующих расширений Вам известны?

CHR Extension: (News Tab) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-08-11]
CHR Extension: (Google Search) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-02-28]
CHR Extension: (Дополнительные возможности) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfebapdicibciambalncgipoibiopnno [2016-07-19]
CHR Extension: (HoneyTab) - C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12} [2016-08-21]
OPR Extension: (proplay) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-08-21]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  Toolbar: HKU\S-1-5-21-560421024-292296030-378943775-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF HKLM\...\Firefox\Extensions: [{026C16AD-D1E4-4C41-7714-4EEEB639E80A}] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
  FF HKLM\...\Firefox\Extensions: [{C022C7C0-A4AF-4D98-B15D-2DDF14456FAD}] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
  FF HKLM\...\Firefox\Extensions: [{09C81EE6-CB33-BDDF-BBD4-7EF2A9904EC6}] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
  FF HKLM\...\Firefox\Extensions: [{177B6F42-F2B7-2A6A-69E4-AB5C9990F515}] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
  Folder: C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}
  2016-08-10 21:40 - 2016-08-10 21:40 - 00000124 ___SH C:\Program Files\Common Files\SBEXTS
  Folder: C:\Users\Admin\AppData\Local\srss
  Task: {05143008-C070-41F7-A996-DF64555904EE} - \{1044C617-ECDF-DDC8-8DE2-2B29925D5512} -> No File <==== ATTENTION
  Task: {5797D8EA-F4EB-4D00-A700-C39D4A299931} - \Microsoft\Windows\A9A3E067C-F960-47F3-AE68-6F78557BF2D8 -> No File <==== ATTENTION
  Task: {8D156966-5C36-498D-8BCC-6673277C8AE3} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  Task: {A04BFB0F-C52C-42CD-8D52-C91CC71199A0} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Task: {A2A080F8-C6FF-4BCB-A044-113259323BEE} - \srss -> No File <==== ATTENTION
  Task: {E2A2933B-0755-417A-AC93-F78E24F2505E} - \{79050547-057D-0979-7811-0B7A7E0B117A} -> No File <==== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Обратите внимание на системное событие:

Error: (08/23/2016 08:38:45 PM) (Source: Ntfs) (EventID: 55) (User: )
Description: Структура файловой системы на диске повреждена и непригодна к использованию.
Запустите программу CHKDSK на томе C:.

Выполните проверку файловой системы диска C: в командной строке (cmd.exe) :

chkdsk c: /f

[Unoword 0]

Неизвестны, но в реестре и на диске С их удалил.

Что теперь с этим системным событием делать?

CHKDSK выполнил.

Файл прикрепил.

Проблема с Мозилой осталась и после переустановки.

 

Fixlog.txt

[SQ 831]

Знакома ли Вам?

========================= Folder: C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12} ========================

2016-08-21 16:42 - 2016-08-21 16:42 - 0003478 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\128.png
2016-08-21 16:42 - 2016-08-21 16:42 - 0001330 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bg.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0000781 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bgok.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0000781 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bgvk.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0003792 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\hash.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0000616 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\manifest.json
2016-08-21 16:43 - 2016-08-21 16:43 - 0068332 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\Uninstall.exe
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\en
2016-08-21 16:42 - 2016-08-21 16:42 - 0000183 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\en\messages.json
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\ru
2016-08-21 16:42 - 2016-08-21 16:42 - 0000183 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\ru\messages.json
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css
2016-08-21 16:42 - 2016-08-21 16:42 - 0000481 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css\bgok.css
2016-08-21 16:42 - 2016-08-21 16:42 - 0000256 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css\bgvk.css

====== End of Folder: ======

[Unoword 0]

 

Знакома ли Вам?

========================= Folder: C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12} ========================

2016-08-21 16:42 - 2016-08-21 16:42 - 0003478 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\128.png
2016-08-21 16:42 - 2016-08-21 16:42 - 0001330 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bg.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0000781 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bgok.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0000781 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bgvk.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0003792 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\hash.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0000616 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\manifest.json
2016-08-21 16:43 - 2016-08-21 16:43 - 0068332 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\Uninstall.exe
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\en
2016-08-21 16:42 - 2016-08-21 16:42 - 0000183 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\en\messages.json
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\ru
2016-08-21 16:42 - 2016-08-21 16:42 - 0000183 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\ru\messages.json
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css
2016-08-21 16:42 - 2016-08-21 16:42 - 0000481 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css\bgok.css
2016-08-21 16:42 - 2016-08-21 16:42 - 0000256 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css\bgvk.css

====== End of Folder: ======

Нет! Удалять?

[SQ 831]

Нет! Удалять?

Нет, выполните следующий фикс, чтобы была возможность откатиться:

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.