При выборе ссылок открываются дополнительные окна с играми рекламой и пр.

[ingvar]

Проблема возникла после посещения супругой одного из сайтов по вязанию. Как я уже указал, при открытии любого сайта, открываются еще несколько окон с различгыми играми, рекламой товаров, рекомендациями обновить плеер или браузер и т.д. или просто окошечко с текстом. На некоторые проверенные сайт вообще не получается зайти, выдается сообщение о ненадежности. Касперский и DRWEB ничего не находят. Пока пытался сам решить проблему, поставил SpyHunter4. Он находит на машине 6-7 вирусов, из которых особо опасные (по его подсказке) Trojn.Agent-Ecu и Softonic Search. Но удалить их у меня не получилось

CollectionLog-2014.11.16-11.14.zip

[Roman_Five]

DNS Вам знакомы?

85.234.0.29 24.231.198.9

что в этих папках?

2014-11-02 15:23:57 ----D---- C:\Program Files (x86)\nu pogodi
2014-11-02 15:21:37 ----D---- C:\я

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\windows\syswow64\mtconf.exe');
 QuarantineFile('C:\Windows\system32\system.vbs','');
 QuarantineFile('C:\InstallLauncher.bat','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('c:\windows\syswow64\mtconf.exe','');
 DeleteFile('c:\windows\syswow64\mtconf.exe','32');
 DeleteFile('C:\Windows\system32\system.vbs','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Userinit');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qip.ru/?utm_source=qip2012&utm_medium=cpc&utm_campaign=qip2012_start
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [Userinit] C:\Windows\system32\system.vbs

 

Сделайте новые логи по правилам (только пункт 3).

 

+ лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

[ingvar]

DNS 85.234.0.29 24.231.198.9 - точно ответить не могу....

 

2 указанные папки - это попытка установки игры "Ну погоди". Я их удалил.

 

Вот ответ на отправленный Quarantine.zip:

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

autorun.inf,
InstallLauncher.bat,
system.vbs

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

mtconf.exe - not-a-virus:RiskTool.Java.BitCoinMiner.a

Этот файл уже детектируется нашими расширенными базами как потенциально опасное программное обеспечение.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

Новые отчеты прикрепил

 

на mail.ru смог зайти только с IE, через FireFox не получается...

этого я не отправлял....

"этого я не отправлял..." случайно - к теме не относится

CollectionLog-2014.11.16-15.36.zip

AdwCleanerR0.txt

[Roman_Five]

удалите всё найденное в AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

 

пофиксите в Hijackthis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{708CFE48-5D9D-4DF0-AA97-AEE3B72DA9F0}: NameServer = 85.234.0.29 157.127.0.0

новые логи приложите

[ingvar]

все сделал, вот новые логи

CollectionLog-2014.11.16-21.11.zip

AdwCleanerR3.txt

[Roman_Five]

а как Вы подключаетесь к интернету?
через роутер?

 

пофиксите  в Hijackthis (запускать по ПКМ от имени администратора):

O17 - HKLM\System\CCS\Services\Tcpip\..\{708CFE48-5D9D-4DF0-AA97-AEE3B72DA9F0}: NameServer = 85.234.0.29 152.97.69.183

проверяйте проблему:

 

 

на mail.ru .... через FireFox не получается

новый лог Hijackthis приложите.

[ingvar]

Добрый вечер!

Работаю через роутер.

Пофиксил, лог высылаю

я только сейчас обратил внимание, что все эти дополнительные окна открываются только в Мозилле, в Эксплорере нет такого.....

hijackthis.log

[Roman_Five]

Скачайте Junkware Removal Tool и сохраните на рабочем столе.

Выгрузите всё защитное ПО и браузеры, чтобы избежать конфликтов.

Щелкните правой кнопкой мыши и выберите "Запуск от имени администратора".

Программа запустится и начнётся сканирование Вашей системы.

Дождитесь завершения сканирования.

По окончании лог сканирования (JRT.txt) сохранится на рабочий стол и автоматически откроется.

Прикрепите полученный лог к следующему сообщению.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[ingvar]

Добрый вечер!

Высылаю

JRT.txt

Malwarebytes.txt

[ingvar]

Добрый вечер!

Проблема у меня пока осталась....

[Roman_Five]

удалите всё найденное в MBAM (выберите "карантин").

новый лог приложите.

 

в FF отключите все дополнения и проверьте проблему.

 

приложите лог MiniToolBox

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647692

[ingvar]

Добрый вечер! Извините, что не сразу отвечаю

после MBAM нечего было в карантин отправлять.....

Лог высылаю.

В FF отключил расширения и плагины кроме Касперского

Лог MiniToolBox высылаю

Malwarebytes.txt

Result.txt

[Roman_Five]

что с проблемой?

[ingvar]

Добрый вечер!

Похоже, что проблема решена. Я еще потестирую, напишу завтра. Большое спасибо!

[ingvar]

Еще раз спасибо. Пока все хорошо!