Браузер сам лезет на непонятные сайты, зараженные HEUR: Trojan.Script.Iframer

[Романтик]

Добрый день! Помогите, пожалуйста, разобраться с такой ситуацией:

 

1) При заходе на каждый третий сайт в Интернете антивирус Kaspersky выдаёт сообщение, что заблокировал переход на некую вредоносную страницу с адресом, куда я вообще заходить не собирался. Адреса разные, название вируса всегда одно и то же - HEUR: Trojan.Script.Iframer

 

2) SpyHunter (на компьютере стоит пробная версия) регулярно отображает сообщение, что изменены настройки DNS, и просит меня подтвердить (не подтверждаю и возвращаюсь к прошлым настройкам)

 

3) При полном сканировании компьютера Kaspersky проблем не обнаруживает. DrWeb CureIt что-то нашёл и подлечил, но проблема осталась.

 

Предыстория. Какие-то нежелательные программы проникли в систему в конце марта при закачке стороннего ПО для воссоздания кнопки Пуск в Windows 8. В частности, они заменили стартовую страницу, изменили поиск по умолчанию, вписали в автозагрузку какую-то программу с китайскими иероглифами и др. Большую часть всего этого удалось победить, остались только сложности из пп. 1-2 выше. Они же перекочевали в Windows 10 при переходе на новую систему.

 

Спасибо!

CollectionLog-2016.04.05-12.14.zip

[mike 1]

SpyHunter деинсталлируйте.

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Романтик]

Сделал. Правда, сначала проглядел первую строчку и запустил сканирование до деинсталляции SpyHunter. Затем удалил программу и запустил сканирование по новой.

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-3897348182-3558328801-479543102-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://123.8ff.net

FF user.js: detected! => C:\Users\PC\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2016-04-05]

S2 AdBlockerService; "C:\Program Files (x86)\AdBlocker\Service.WinServiceHost.exe" [X]

S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X]

R3 WPRO_41_2001; C:\Windows\System32\drivers\WPRO_41_2001.sys [34752 2016-04-05] ()

S3 esgiguard; \?\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]

2016-04-05 14:15 - 2016-04-05 14:15 - 00094656 _____ (CACE Technologies) C:\WINDOWS\system32\WPRO_41_2001woem.tmp

2016-04-04 12:15 - 2016-04-04 12:15 - 00003244 _____ C:\WINDOWS\System32\Tasks\SpyHunter4

Task: {2EA418E8-9459-4AD1-9690-08D040889E79} - System32\Tasks\SpyHunter4 => C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe

Task: {999A3ABB-F86C-441C-B79A-5FEA22DD559C} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe

EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[Романтик]

Прикрепляю файл Fixlog.txt. Архив upload.zip на рабочем столе не был создан.

Fixlog.txt

[mike 1]

Что с проблемой?

[Романтик]

Попытки браузера зайти по непонятным мне ссылкам продолжаются. Что касается изменения DNS, о котором говорил SpyHunter, после удаления он конечно ничего такого сказать не может.

Есть ещё гипотетический вариант, что заражены сами сайты, которые я открываю: самовольства браузера и попытки перенаправить на какую-то странную ссылку начинаются не на всегда, а только если я открываю что-либо конкретное. Пока заметил пару таких сайтов (ничего криминального: один новостной, второй форум по банковско-финансовым вопросам). Странно, однако, что по сообщениям Kaspersky заражены они одним и тем же вирусом и пытаются перенаправить на похожий набор странных адресов.

[mike 1]

В каком браузере проблема?

[Романтик]

Сейчас у меня стоит Edge, но абсолютно то же самое было в Chrome который у меня стоял раньше, и в Mozilla, которую я установил специально чтоб посмотреть, будет ли проблема наблюдаться и там тоже. Везде картинка одинаковая.

[mike 1]

На вопрос вы так и не ответили. 

[Романтик]

Ответил как смог))) Браузер - Edge, который идет в комплекте с Microsoft Windows 10.

[mike 1]

Сейчас проблема только в Edge?

[Романтик]

Да. Сейчас проблема только в Edge, потому что этот браузер у меня единственный - других нет.

[mike 1]

Проверьте проблему в Internet Explorer. 

[Романтик]

Действительно, про Internet Explorer я забыл, он тоже стоит! Проверил: проблема присутствует и в Internet Explorer тоже.