Вирус показывает рекламу и всплывающие окна в браузерах

[Даша]

на нетбуке установлена Windows 8, после загрузки видеоплеера (неизвестного там все на китайском, его сразу удалил) после чего зашел в браузер и у меня начала появляться разная реклама на всех вкладках, всплывать окна с сообщениями, открываться сами посебе разные сайты.

установил Kaspersky Virus Removal Tool проверил, он нашел вирусы и удалил их после чего все работало нормально, но не долго, через пару дней я опять скачал и установил Kaspersky Virus Removal Tool, но он ничего не нашел,  другие антивирусники тоже ничего не находят.

Заранее спасибо за помощь

CollectionLog-2015.03.16-20.46.zip

[mike 1]

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Даша]

сделал

AdwCleanerR0.txt

ClearLNK-16.03.2015_21-53.log

[mike 1]

Важно! Очистку нужно производить в безопасном режиме. 

 

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

[Даша]

загрузил безопасный режим, выполнил сканирование и очистку 

AdwCleanerS0.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Даша]

вот

Addition_17-03-2015_07-06-49.txt

FRST_17-03-2015_07-06-49.txt

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [baidusdTray] => "C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
HKLM-x32\...\Run: [kxesc] => "c:\program files (x86)\kingsoft\kingsoft antiviruskxetray.exe" -autorun
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-3116486076-3925216756-1129053232-1001 -> No Name - {00000000-0000-0000-0000-000000000000} -  No File
FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll No File
FF Plugin-x32: @baidu.com/npBdyyPlugin -> C:\Program Files (x86)\baidu\BaiduPlayer\4.1.1.73\npbdyy.dll No File
FF Plugin-x32: @baidu.com/npxbdsetup -> C:\Windows\Downloaded Program Files\359411843\npxbdsetup.dll [2012-12-26] ()
FF Plugin-x32: @kingsfot.com/npkws -> c:\program files (x86)\kingsoft\kingsoft antivirus\npkws.dll No File
CHR HKU\S-1-5-21-3116486076-3925216756-1129053232-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [abgkhgclnjdmdopgnfdhnjekcoleojlm] - C:\Users\Leonid\AppData\Local\Metabar\metabar-Link-3211249.crx [Not Found]
CHR HKU\S-1-5-21-3116486076-3925216756-1129053232-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [agdidgeeenplihfopogibefihekmmfhl] - C:\Users\Leonid\AppData\Local\Metabar\metabar-Link-3211106.crx [Not Found]
CHR HKU\S-1-5-21-3116486076-3925216756-1129053232-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cocjlnelifpfbipdlhapeobeaphdiena] - C:\Users\Leonid\AppData\Local\Metabar\metabar-Link-3211114.crx [Not Found]
CHR HKU\S-1-5-21-3116486076-3925216756-1129053232-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fmecmkdafpdaaihmcjkokeljmphiaino] - C:\Users\Leonid\AppData\Local\Metabar\metabar-Link-3211246.crx [Not Found]
CHR HKU\S-1-5-21-3116486076-3925216756-1129053232-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jecaffcccohfbngellianmmlfnibcngi] - C:\Users\Leonid\AppData\Local\Metabar\metabar-Link-4841606.crx [Not Found]
CHR HKU\S-1-5-21-3116486076-3925216756-1129053232-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jenjnppnciigmgjfleajhilbcmfjcfah] - C:\Users\Leonid\AppData\Local\Metabar\metabar-RSSReader-463074.crx [Not Found]
CHR HKU\S-1-5-21-3116486076-3925216756-1129053232-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pakkplllcdpnkpkdjcceggbjdoklbkji] - C:\Users\Leonid\AppData\Local\Metabar\metabar-Link-3284297.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [bgomnbpelpcdicbnicimghcecemjpbef] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kppacdmmddediahklmcgkgdhhoojemmd] - https://clients2.google.com/service/update2/crx
OPR Extension: (Переводчик для Chrome 2) - C:\Users\Leonid\AppData\Roaming\Opera Software\Opera Stable\Extensions\djflhoibgkdhkhhcedjiklpkjnoahfmg [2014-08-21]
S2 BDDefense; C:\Windows\system32\drivers\BDDefense.sys [103240 2014-09-22] (Baidu)
R0 KAVBootC; C:\Windows\System32\Drivers\KAVBootC64.sys [31848 2015-02-27] (Kingsoft Corporation)
S1 KDHacker; C:\Windows\System32\Drivers\KDHacker.sys [146248 2015-02-27] (Kingsoft Corporation)
R2 kisknl; C:\Windows\system32\drivers\kisknl.sys [229192 2015-02-27] (Kingsoft Corporation)
S1 kisnetm; C:\Windows\System32\Drivers\kisnetm.sys [113464 2015-02-27] (Kingsoft Corporation)
S2 ksapi64; C:\Windows\system32\drivers\ksapi64.sys [56680 2015-02-27] (Kingsoft Corporation)
2015-03-16 23:35 - 2014-09-22 10:34 - 00103240 _____ (Baidu) C:\Windows\system32\Drivers\BDDefense.sys
2015-03-16 19:58 - 2014-09-25 11:13 - 00141128 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.SYS
2015-03-16 19:58 - 2014-09-10 06:30 - 00065864 _____ (Baidu) C:\Windows\system32\Drivers\bd0003.sys
2015-02-28 13:13 - 2015-02-28 13:13 - 00000000 ____D () C:\Users\Leonid\AppData\Roaming\shoujizhushou
2015-02-28 13:00 - 2015-02-28 13:00 - 00000000 ____D () C:\Users\Leonid\AppData\Local\Kingsoft
2015-02-28 13:00 - 2015-02-28 13:00 - 00000000 _____ () C:\Users\Leonid\AppData\Local\{4FA62E88-7746-4827-B1C6-3DBA3943262A}
2015-02-28 12:58 - 2015-02-27 18:01 - 00229192 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl.sys
2015-02-27 18:36 - 2015-02-27 17:52 - 00033584 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\bootsafe.sys
2015-02-27 18:36 - 2015-02-27 17:52 - 00033128 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\bootsafe64.sys
2015-02-27 17:36 - 2015-03-02 00:43 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\????
2015-02-27 17:36 - 2015-02-28 13:29 - 00000000 ____D () C:\Users\Все пользователи\Kingsoft
2015-02-27 17:36 - 2015-02-28 13:29 - 00000000 ____D () C:\ProgramData\Kingsoft
2015-02-27 17:36 - 2015-02-28 13:01 - 00000000 __SHD () C:\KRECYCLE
2015-02-27 17:36 - 2015-02-27 17:36 - 00018296 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kusbquery64.sys
2015-02-27 17:36 - 2015-02-27 17:36 - 00000000 ____D () C:\Users\Leonid\AppData\Roaming\Kingsoft
2015-02-27 17:36 - 2015-02-27 17:35 - 00014200 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kusbquery.sys
2015-02-27 17:35 - 2015-02-27 17:34 - 00019352 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksskrpr.sys
2015-02-27 17:34 - 2015-02-27 18:06 - 00080744 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksapi.sys
2015-02-27 17:34 - 2015-02-27 18:06 - 00056680 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksapi64.sys
2015-02-27 17:34 - 2015-02-27 18:02 - 00114488 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetmxp.sys
2015-02-27 17:33 - 2015-02-27 18:02 - 00113464 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetm.sys
2015-02-27 17:33 - 2015-02-27 18:02 - 00109880 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetm64.sys
2015-02-27 17:33 - 2015-02-27 17:32 - 00225080 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl64.sys
2015-02-27 17:32 - 2015-02-27 17:59 - 00190792 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kdhacker64.sys
2015-02-27 17:31 - 2015-02-27 17:59 - 00146248 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kdhacker.sys
2015-02-27 17:31 - 2015-02-27 17:56 - 00031592 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kavbootc.sys
2015-02-27 17:31 - 2015-02-27 17:31 - 00031848 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kavbootc64.sys
2015-02-27 17:30 - 2015-02-27 17:30 - 00024472 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\bc.sys
2015-02-27 17:29 - 2015-02-28 13:05 - 00000000 ____D () C:\Program Files (x86)\kingsoft
2015-02-27 17:23 - 2015-02-27 17:23 - 00003240 _____ () C:\Windows\System32\Tasks\SystemScript
2015-02-27 10:27 - 2015-02-27 10:27 - 00003550 _____ () C:\Windows\System32\Tasks\ProtectBaiduPlayer
2015-02-07 11:47 - 2015-02-07 11:47 - 00000097 _____ () C:\prefs.js
2014-11-29 13:05 - 2014-11-29 13:05 - 0000117 ____H () C:\Program Files (x86)\opera.bat
2014-11-29 13:05 - 2014-11-18 18:45 - 50073208 ____H (Opera Software) C:\Program Files (x86)\оpеrа.bаt.exe
2014-11-29 13:05 - 2014-11-29 13:05 - 0000179 ____H () C:\Users\Leonid\AppData\Roaming\YandexDiskScreenshotEditor.bat
2014-11-29 13:05 - 2014-11-29 13:05 - 0000170 ____H () C:\Users\Leonid\AppData\Roaming\YandexDiskStarter.bat
2014-11-29 13:05 - 2014-08-27 23:27 - 0200992 ____H () C:\Users\Leonid\AppData\Roaming\YаndехDiskStаrtеr.bаt.exe
2014-11-29 13:05 - 2014-08-27 23:27 - 3711264 ____H () C:\Users\Leonid\AppData\Roaming\YаndехDiskSсrееnshоtЕditоr.bаt.exe
Task: {F4B9C669-5A7B-4421-88E6-2CFCF374A117} - System32\Tasks\SystemScript => C:\Users\Leonid\AppData\Local\Microsoft\Windows\toolbar.exe
C:\Users\Leonid\AppData\Local\Microsoft\Windows\toolbar.exe
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[Даша]

выполнил

Fixlog.txt

[thyrex]

Что с проблемой?

[Даша]

рекламы немножко  меньше стало, а так все как было =(

Что с проблемой?

[thyrex]

Новый лог FRST сделайте 

[Даша]

новый

FRST.txt

[thyrex]

Расширение Adblock какой версии установлено в Хроме и Опера?

[Даша]

 2.18 и 39.0