Реклама в браузере Opera

[max91]

Здравствуйте. Хотел установить драйвер для видеокарты скачал Driver Update Pro. После него все началось, установились разные программы, браузеры, тестеры. Удалил все программы, появилась реклама на всех сайтах.

1. Проверил систему Dr.Web CureIt!.

Обнаружено угроз: 11

Обезврежено угроз: 11

Перезагрузил ПК ничего не изменилось

2. Очистку дисков сделал, все по прежнему

3. Логи созданы

 

CollectionLog-2015.03.20-23.57.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.arepo.bat','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\VOPackage\JOSrv.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\VOPackage\nsu712.tmpfs','');
DeleteService('cozigevo');
DeleteService('serverjo');
SetServiceStart('pehisupy', 4);
DeleteService('pehisupy');
TerminateProcessByName('c:\documents and settings\admin\application data\03000200-1426836917-0500-0006-000700080009\jnsb29b.tmp');
QuarantineFile('c:\documents and settings\admin\application data\03000200-1426836917-0500-0006-000700080009\jnsb29b.tmp','');
DeleteFile('c:\documents and settings\admin\application data\03000200-1426836917-0500-0006-000700080009\jnsb29b.tmp','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\VOPackage\nsu712.tmpfs','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\VOPackage\JOSrv.exe','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.arepo.bat','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\WINDOWS\Tasks\Soft installer.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  
• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
   
  
   
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Сделайте новые логи по правилам

[max91]

ясно. AVZ отдельный где можно скачать? Или из архива "AutoLogger" использовать?

[thyrex]

Конечно из автосборщика

[max91]

1. Скрипты в AVZ выполнил.

2. Запрос на исследование вредоносного файла выполнил.

exe.arepo.bat,
exe.erolpxei.bat
jnsb29b.tmp

[KLAN-2609212484]

3. Clear LNK выполнил.

4. Новые логи сделал.

 

ClearLNK-21.03.2015_14-26.log

CollectionLog-2015.03.21-14.39.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[max91]

Farbar Recovery Scan Tool 

FRST.txt

Addition.txt

[thyrex]

Версия у установленного в Опера расширения Adblock какая?

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
   

  CreateRestorePoint:
  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" <======= ATTENTION
  BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} ->  No File
  BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
  FF Extension: No Name -  C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [Not Found]
  FF Extension: No Name -  C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found]
  FF Extension: No Name - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\iobitascsurfingprotection@iobit.com [Not Found]
  FF Extension: No Name - C:\Program Files\IObit Apps Toolbar\FF [Not Found]
  2015-03-20 13:07 - 2015-03-20 13:07 - 00000286 __RSH () C:\Documents and Settings\Admin\ntuser.pol
  2015-03-20 12:29 - 2015-03-21 14:13 - 00000000 ____D () C:\Documents and Settings\Admin\Application Data\Browsers
  2015-03-20 13:07 - 2014-12-23 21:24 - 00000674 __RSH () C:\Documents and Settings\All Users\ntuser.pol
  Reboot:
  

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[max91]

Adblock никогда не использовал, не было необъходимости в этом.

 

Fixlog.txt

[thyrex]

 

 

Adblock никогда не использовал, не было необъходимости в этом.

Мало, что Вы не использовали, а он взял и "сам" установился без Вашего ведома. Смотрите версию

[max91]

До появления этой рекламы, "Adblock" не использовал, устанавливал думал что уберет рекламу, потом сразу удалил. Вероятная версия которую устанавливал Adblock 

Версия:1.3.4

[thyrex]

Вы это смотрели в настройках Опера или все это Ваши догадки? Установлен этот Adblock был 20 марта

[max91]

посмотрел версию в расширениях.

[thyrex]

Что сейчас с проблемой?

[max91]

Все по прежнему.