выскакивает вместо нового окна

[sergeyoo7]

на опере вместо новой вкладки выскакивает вкладка с ссылкой "http://searchstartnow.ru/?utm_source=extension&utm_medium=ext"в настройках нет опции начинать с новой страницы " *** " никак не могу найти эту опцию. Появилось после перехода на левую ссылку и открытие какой то программы. Касперский Тотал Секьюрити 16 находил несколько раз этот вирус, лечил, потом находил снова.. теперь не находит. Что делать?

 

CollectionLog-2016.05.12-13.43.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Интернет

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\admin\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafeBrowser" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\users\admin\appdata\local\microsoft\extensions', '*', true);
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Затем:

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[sergeyoo7]

все сделал.  [KLAN-4257866940]

хз):

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

eula.txt,
extsetup.exe,
extsetup.log,
le

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

eula.txt,
extsetup.exe,
extsetup.log,
le

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com"


--------------------------------------------------------------------------------
From: 
Sent: 5/12/2016 12:32:12 PM
To: newvirus@kaspersky.com
Subject: вирус наверно

 

AdwCleanerS1.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[sergeyoo7]

ADWcleaner

adwcleaner:

# AdwCleaner v5.116 - Отчёт создан 12/05/2016 в 16:04:28
# Обновлено 09/05/2016 by Xplode
# База данных : 2016-05-09.1 [Сервер]
# Операционная система : Windows 10 Pro (X64)
# Пользователь : Admin - ADMIN-ПК
# Запущено из : C:\Users\Admin\Desktop\adwcleaner_5.116.exe
# Настройка : Очистка
# помощь : http://toolslib.net/forum

***** [ Службы ] *****


***** [ Папки ] *****

[-] Папка Удалено : C:\ProgramData\AlterGeo
[-] Папка Удалено : C:\ProgramData\KRB Updater Utility
[-] Папка Удалено : C:\ProgramData\Mail.Ru
[#] Папка Удалено : C:\ProgramData\Application Data\AlterGeo
[#] Папка Удалено : C:\ProgramData\Application Data\KRB Updater Utility
[#] Папка Удалено : C:\ProgramData\Application Data\Mail.Ru
[-] Папка Удалено : C:\Program Files (x86)\AlterGeo
[-] Папка Удалено : C:\Program Files (x86)\Mail.Ru
[-] Папка Удалено : C:\Users\Admin\AppData\Local\Kometa
[-] Папка Удалено : C:\Users\Admin\AppData\Local\Mail.Ru
[-] Папка Удалено : C:\Users\Admin\AppData\Local\Media Get LLC
[-] Папка Удалено : C:\Users\Admin\AppData\Local\Nichrome
[-] Папка Удалено : C:\Users\Admin\AppData\Local\Orbitum
[-] Папка Удалено : C:\Users\Admin\AppData\Local\Xpom
[-] Папка Удалено : C:\Users\Admin\AppData\LocalLow\Mail.Ru
[-] Папка Удалено : C:\Users\Admin\AppData\Roaming\Mail.Ru
[-] Папка Удалено : C:\Users\Admin\AppData\Roaming\MailProducts
[-] Папка Удалено : C:\Users\Admin\AppData\Roaming\ImageCropResize
[-] Папка Удалено : C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
[-] Папка Удалено : C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\wz6e6nlj.default\extensions\sbext@slext.dev
[-] Папка Удалено : C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh
[-] Папка Удалено : C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\henmfoppjjkcencpbjaigfahdjlgpegn

***** [ Файлы ] *****

[-] Файл Удалено : C:\Users\Admin\Favorites\Mail.Ru.url
[-] Файл Удалено : C:\Users\Admin\Favorites\Mail.Ru Агент - используй для общения!.url
[-] Файл Удалено : C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_gehngeifmelphpllncobkmimphfkckne_0.localstorage
[-] Файл Удалено : C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Local Storage\hxxp_explode-arena.en.softonic.com_0.localstorage
[-] Файл Удалено : C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Local Storage\hxxp_explode-arena.en.softonic.com_0.localstorage-journal

***** [ DLLs ] *****


***** [ WMI ] *****


***** [ Ярлыки ] *****


***** [ Запланированные задания ] *****

[-] Задание Удалено : Microsoft\SafeBrowser
[-] Задание Удалено : Microsoft\KRBUUS\KRB Updater Utility Service
[-] Задание Удалено : Microsoft\KRBUUS\KRBLNKRUN
[-] Задание Удалено : Microsoft\Windows\extsetup
[-] Задание Удалено : Microsoft\Windows\SafeBrowser

***** [ Реестр ] *****

[-] Ключ Удалено : HKLM\SOFTWARE\Google\Chrome\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh
[-] Ключ Удалено : HKLM\SOFTWARE\Google\Chrome\Extensions\gehngeifmelphpllncobkmimphfkckne
[-] Ключ Удалено : HKCU\Software\Classes\CLSID\{AD4409E5-23C2-412B-849D-8FC0635B4073}
[-] Ключ Удалено : HKCU\Software\Classes\CLSID\{AEE9D70C-6C9E-4B27-9F2C-8F14E95BEEF6}
[-] Ключ Удалено : HKCU\Software\Classes\CLSID\{DD20920E-515A-4342-85E3-FC9A9FDA55C2}
[-] Ключ Удалено : HKCU\Software\Classes\CLSID\{92FDEF05-B35E-4806-B87F-8B66AB649997}
[-] Ключ Удалено : HKCU\Software\Classes\CLSID\{9F0BF664-B611-4C53-AEEA-FDBFCE6E3CA3}
[-] Ключ Удалено : HKCU\Software\Classes\CLSID\{A8BD93E8-F6AE-4F02-828D-DE47FEC4D375}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ Удалено : HKCU\Software\Media Get LLC
[-] Ключ Удалено : HKCU\Software\Mobogenie3
[-] Ключ Удалено : HKCU\Software\Mail.Ru
[-] Ключ Удалено : HKCU\Software\AppDataLow\Software\Mail.Ru
[-] Ключ Удалено : HKLM\SOFTWARE\Mail.Ru
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ASPackage
[-] Ключ Удалено : HKU\.DEFAULT\Software\Mail.Ru
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\464AA55239C100F32AF2D438EDDC0F47
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5652BA3D5FB98AE31B337BF0AF939856
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EB95E1AFCBABE3DB9ECCC669B99494

***** [ Веб браузеры ] *****

[-] [C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Удалено : djnfikhimijfcoaoblganhllmdjejggi
[-] [C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Удалено : nhgcieglcpdegkhamigiokdphfhhnlhh

*************************

:: Ключи "Tracing" удалены
:: Настройки Winsock очищены
:: Политики IE удалены
:: Политики Chrome удалены

*************************

C:\AdwCleaner\AdwCleaner[C1].txt - [6302 байт] - [12/05/2016 16:04:28]
C:\AdwCleaner\AdwCleaner[s1].txt - [6514 байт] - [12/05/2016 15:35:38]
C:\AdwCleaner\AdwCleaner[s2].txt - [6590 байт] - [12/05/2016 16:02:32]

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [6530 байт] ##########

 

 

 

все равно открывает с той ссылкой (

AdwCleanerC1.txt

Addition.txt

FRST.txt

Shortcut.txt

Изменено 12 мая, 2016 пользователем sergeyoo7

[Sandor]

Логи прикрепляйте к сообщению через Расширенную форму, а не вставляйте.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CHR Extension: (News Tab) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-05-04]
CHR Extension: (Mail.Ru) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb [2016-05-02]
CHR Extension: (Smart Browser™) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocggccaacacpienfcgmgcihoombokbbj [2016-05-10]
OPR Extension: (News Tab) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-05-04]
OPR Extension: (Play google) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\aeajehgeohhgjbhhbicilpenjfcbfnpg [2016-05-11]
OPR Extension: (Video Downloader Pro) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\ibehiiilehaakkhkigckfjfknboalpbe [2016-05-07]
Task: {56226472-DA0F-4EB0-A751-0B70854DD80A} - \Microsoft\Windows\ADA005280-DA65-444E-81B4-BDCAB8B10A3D -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Сообщите что с проблемой.

[sergeyoo7]

ууу еее =) вроде все =)

спасибо.. если отправите номер мобильного в лс могу кинуть на счет рублей 30)

 

Fixlog.txt

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[sergeyoo7]

вот.спасибо

 

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Автоматическое обновление отключено

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.30 (64-разрядная) v.5.30.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.17 v.7.17.105 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader XI (11.0.13) - Russian v.11.0.13 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.50.0.2661.94 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Mozilla Firefox 44.0.2 (x86 ru) v.44.0.2 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Html5 geolocation provider v.3.5.0.849 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Update for Html5 geolocation provider v.3.7.2.909 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[sergeyoo7]

спасибо)