Опять о больном, браузер рекламу!

[Анастасия Вах]

Всем доброе время суток, 

 

Столкнулся тут с проблемой, устанавливаются сами по себе программы и браузер стал сам открывать через какое-то время одну страницу с рекламой, даже если смотришь фильм и.т.д!

 

Сам виноват качал на сканер драйвера из сомнительного источника, после этого такие приключения и начались. 

С головой дружу сам все нашел, реестр почистил, прогнал через антивирус и через AdwCleaner, программы перестали устанавливаться все ОК! А вот браузер не как не хочет лечится, проверял пути в ярлыке все нормально, так что прощу помощи!

 

Скидываю лог AdwCleaner 1 и 2 вариант прогонял 2 раза первый раз как видно уйму всего было, второй вроде все нормально но проблема актуальна.

 

Первый раз

Превый лог AdwCleaner.:

# AdwCleaner v5.118 - Отчёт создан 30/05/2016 в 15:34:25
# Обновлено 23/05/2016 by Xplode
# База данных : 2016-05-30.1 [Сервер]
# Операционная система : Windows 10 Home Single Language (X64)
# Пользователь : SjayLiFe - DRIVEFOX
# Запущено из : C:\Users\SjayLiFe\Desktop\adwcleaner_5.118.exe
# Настройка : Очистка
# помощь : http://toolslib.net/forum

***** [ Службы ] *****

[-] Служба Удалено : UbarCalloutDriver
[-] Служба Удалено : UbarPolicyProvider

***** [ Папки ] *****

[-] Папка Удалено : C:\ProgramData\KRB Updater Utility
[-] Папка Удалено : C:\ProgramData\Mail.Ru
[-] Папка Удалено : C:\ProgramData\UBar
[#] Папка Удалено : C:\ProgramData\Application Data\KRB Updater Utility
[#] Папка Удалено : C:\ProgramData\Application Data\Mail.Ru
[#] Папка Удалено : C:\ProgramData\Application Data\UBar
[-] Папка Удалено : C:\Program Files (x86)\KINOROOM BROWSER
[-] Папка Удалено : C:\Program Files (x86)\Mail.Ru
[-] Папка Удалено : C:\Program Files (x86)\MagicPlus
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Local\Mail.Ru
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Local\MailRu
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\AceWebExtension
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\tencent
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\zona
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\MailProducts
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\magicplayer@acestream.org
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\search@mail.ru
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\homepage@mail.ru
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim
[-] Папка Удалено : C:\Program Files\UBar
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Local\com

***** [ Файлы ] *****

[-] Файл Удалено : C:\Users\SjayLiFe\Favorites\Mail.Ru.url
[-] Файл Удалено : C:\Users\SjayLiFe\Favorites\Mail.Ru Агент - используй для общения!.url
[-] Файл Удалено : C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml

***** [ DLLs ] *****


***** [ WMI ] *****


***** [ Ярлыки ] *****


***** [ Запланированные задания ] *****

[-] Задание Удалено : Microsoft\KRBUUS\KRB Updater Utility Service
[-] Задание Удалено : Microsoft\KRBUUS\KRBLNKRUN

***** [ Реестр ] *****

[-] Параметр Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run [KRB Updater Utility]
[-] Ключ Удалено : HKCU\Software\Classes\acestream
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
[-] Ключ Удалено : HKCU\Software\Microsoft\Tinstalls
[-] Ключ Удалено : HKCU\Software\TutoTag
[-] Ключ Удалено : HKCU\Software\zona
[-] Ключ Удалено : HKCU\Software\WIN
[-] Ключ Удалено : HKCU\Software\Mail.Ru
[-] Ключ Удалено : HKCU\Software\MagicPlus
[-] Ключ Удалено : HKCU\Software\AppDataLow\Software\Mail.Ru
[-] Ключ Удалено : HKLM\SOFTWARE\Mail.Ru
[-] Ключ Удалено : HKLM\SOFTWARE\MagicPlus
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Zona)
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\464AA55239C100F32AF2D438EDDC0F47
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5652BA3D5FB98AE31B337BF0AF939856
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EB95E1AFCBABE3DB9ECCC669B99494
[-] Значение Восстановлено : HKCU\Software\Microsoft\Internet Explorer\Main [start Page]
[-] Значение Восстановлено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Internet Explorer\Main [start Page]
[-] Параметр Удалено : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules [{0584A907-3411-49A1-8E48-365DEB5B673B}]
[-] Ключ Удалено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A06ED961-D98F-4CF9-A89B-80AB11DB149C}
[-] Значение Восстановлено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope]
[-] Ключ Удалено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
[-] Значение Восстановлено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope]
[-] Параметр Удалено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run [AceUpdater]
[-] Параметр Удалено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run [cmd]
[-] Параметр Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Kinoroom Browser]
[#] Параметр Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run [KRB Updater Utility]

***** [ Веб браузеры ] *****

[-] [C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js] Удалено : user_pref("browser.search.defaultenginename", "Поиск@Mail.Ru");
[-] [C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js] Удалено : user_pref("browser.search.selectedEngine", "Поиск@Mail.Ru");
[-] [C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js] Удалено : user_pref("browser.startup.homepage", "hxxp://chatozov.ru/?utm_content=706daf58c4c295e14015a61bf477685c&utm_source=startpm&utm_term=4DBF52C8CE4013F5FE900DEF64392656&utm_d=20160529");
[-] [C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js] Удалено : user_pref("network.hxxp.request.max-start-delay", 0);
[-] [C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js] Удалено : user_pref("browser.startup.homepage", "hxxp://chatozov.ru/?utm_content=706daf58c4c295e14015a61bf477685c&utm_source=startpm&utm_term=4DBF52C8CE4013F5FE900DEF64392656&utm_d=20160529");

*************************

:: Ключи "Tracing" удалены
:: Настройки Winsock очищены

*************************

C:\AdwCleaner\AdwCleaner[C1].txt - [7569 байт] - [30/05/2016 15:34:25]
C:\AdwCleaner\AdwCleaner[s1].txt - [8822 байт] - [30/05/2016 15:30:24]

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [7721 байт] ##########

 

Второй раз

Второй лог AdwCleaner:

# AdwCleaner v5.119 - Отчёт создан 31/05/2016 в 12:38:51
# Обновлено 30/05/2016 by Xplode
# База данных : 2016-05-30.3 [Сервер]
# Операционная система : Windows 10 Home Single Language (X64)
# Пользователь : SjayLiFe - DRIVEFOX
# Запущено из : C:\Users\SjayLiFe\Desktop\Софт l Soft\adwcleaner_5.119.exe
# Настройка : Сканировать
# помощь : http://toolslib.net/forum

***** [ Службы ] *****


***** [ Папки ] *****


***** [ Файлы ] *****


***** [ DLL ] *****


***** [ WMI ] *****


***** [ Ярлыки ] *****


***** [ Запланированные задания ] *****


***** [ Реестр ] *****

Значение Найдено : HKCU\Software\Microsoft\Internet Explorer\Main [start Page] - hxxp://chatozov.ru/?utm_content=706daf58c4c295e14015a61bf477685c&utm_source=startpm&utm_term=4DBF52C8CE4013F5FE900DEF64392656&utm_d=20160529
Значение Найдено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Internet Explorer\Main [start Page] - hxxp://chatozov.ru/?utm_content=706daf58c4c295e14015a61bf477685c&utm_source=startpm&utm_term=4DBF52C8CE4013F5FE900DEF64392656&utm_d=20160529
Ключ Найдено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A06ED961-D98F-4CF9-A89B-80AB11DB149C}
Значение Найдено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] - {A06ED961-D98F-4CF9-A89B-80AB11DB149C}
Ключ Найдено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Internet Explorer\SearchScopes\{A06ED961-D98F-4CF9-A89B-80AB11DB149C}
Значение Найдено : HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] - {A06ED961-D98F-4CF9-A89B-80AB11DB149C}

***** [ Веб браузеры ] *****

[C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js] Найдено : user_pref("browser.startup.homepage", "hxxp://chatozov.ru/?utm_content=706daf58c4c295e14015a61bf477685c&utm_source=startpm&utm_term=4DBF52C8CE4013F5FE900DEF64392656&utm_d=20160529");
[C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js] Найдено : user_pref("browser.startup.homepage", "hxxp://chatozov.ru/?utm_content=706daf58c4c295e14015a61bf477685c&utm_source=startpm&utm_term=4DBF52C8CE4013F5FE900DEF64392656&utm_d=20160529");

*************************

C:\AdwCleaner\AdwCleaner[C1].txt - [7815 байт] - [30/05/2016 15:34:25]
C:\AdwCleaner\AdwCleaner[C2].txt - [2651 байт] - [30/05/2016 16:55:00]
C:\AdwCleaner\AdwCleaner[C3].txt - [1953 байт] - [30/05/2016 21:35:12]
C:\AdwCleaner\AdwCleaner[s1].txt - [8822 байт] - [30/05/2016 15:30:24]
C:\AdwCleaner\AdwCleaner[s2].txt - [2923 байт] - [30/05/2016 16:06:06]
C:\AdwCleaner\AdwCleaner[s3].txt - [1979 байт] - [30/05/2016 20:55:00]
C:\AdwCleaner\AdwCleaner[s4].txt - [3018 байт] - [31/05/2016 12:38:51]

########## EOF - C:\AdwCleaner\AdwCleaner[s4].txt - [3094 байт] ##########

 

[SQ]

Здравствуйте,

Ознакомьтесь с инструкциями Порядок оформления запроса о помощи

 

[Анастасия Вах]

Вот пожалуйста, пока сканирование шло, опять установилось куча ерунды типо (Black Desert, War Thunder, Новости, Star Conflict, Aliexpress) которые я даже не ставил, а браузер все по прежнему за свое!

 

 

CollectionLog-2016.06.01-20.07.zip

[SQ]

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\sjaylife\appdata\local\temp\nsucffa.tmp\1424ba27-ae5f-46cf-8b69-3c50aaca4854.exe');
 QuarantineFile('C:\Users\SjayLiFe\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\SjayLiFe\AppData\Local\Temp\nsjE5CF.tmp\System.dll','');
 QuarantineFile('C:\Users\SjayLiFe\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\42F91C3E-33FF-415B-9C88-C083EBEBAC8D\8D9F6CBC-349F-419F-B15D-921F8B9CB5A4.exe','');
 QuarantineFile('C:\Users\SjayLiFe\Desktop\344-345-util-windows\autorun.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\Macromed\Flash\pepflashplayer32_22_0_0_168.dll','');
 QuarantineFile('c:\users\sjaylife\appdata\local\temp\nsucffa.tmp\1424ba27-ae5f-46cf-8b69-3c50aaca4854.exe','');
 DeleteFile('C:\Users\SjayLiFe\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Users\SjayLiFe\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\42F91C3E-33FF-415B-9C88-C083EBEBAC8D\8D9F6CBC-349F-419F-B15D-921F8B9CB5A4.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\SafeBrowser','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A42F91C3E-33FF-415B-9C88-C083EBEBAC8D','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\extsetup','64');
 DeleteFile('c:\users\sjaylife\appdata\local\temp\nsucffa.tmp\1424ba27-ae5f-46cf-8b69-3c50aaca4854.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrent');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','42F91C3E-33FF-415B-9C88-C083EBEBAC8D');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)


- Подготовьте лог AdwCleaner и приложите его в теме.

[Анастасия Вах]

[KLAN-4397525474]

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

extsetup.exe,
8D9F6CBC-349F-419F-B15D-921F8B9CB5A4.exe,
pepflashplayer32_22_0_0_168.dll

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

 

лог AdwCleaner:

# AdwCleaner v5.119 - Отчёт создан 06/06/2016 в 10:48:46
# Обновлено 30/05/2016 by Xplode
# База данных : 2016-06-03.1 [Сервер]
# Операционная система : Windows 10 Home Single Language (X64)
# Пользователь : SjayLiFe - DRIVEFOX
# Запущено из : C:\Users\SjayLiFe\Desktop\Софт l Soft\adwcleaner_5.119.exe
# Настройка : Очистка
# помощь : http://toolslib.net/forum

***** [ Службы ] *****


***** [ Папки ] *****

[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Local\Amigo
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Local\Kometa
[-] Папка Удалено : C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev

***** [ Файлы ] *****


***** [ DLLs ] *****


***** [ WMI ] *****


***** [ Ярлыки ] *****


***** [ Запланированные задания ] *****

[-] Задание Удалено : Microsoft\SafeBrowser
[-] Задание Удалено : Microsoft\Windows\extsetup
[-] Задание Удалено : Microsoft\Windows\SafeBrowser
[-] Задание Удалено : GameNet

***** [ Реестр ] *****

[-] Ключ Удалено : HKCU\Software\Mobogenie3
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ASPackage

***** [ Веб браузеры ] *****


*************************

:: Ключи "Tracing" удалены
:: Настройки Winsock очищены

*************************

C:\AdwCleaner\AdwCleaner[C1].txt - [7815 байт] - [30/05/2016 15:34:25]
C:\AdwCleaner\AdwCleaner[C2].txt - [2651 байт] - [30/05/2016 16:55:00]
C:\AdwCleaner\AdwCleaner[C3].txt - [1953 байт] - [30/05/2016 21:35:12]
C:\AdwCleaner\AdwCleaner[C4].txt - [2904 байт] - [31/05/2016 12:55:27]
C:\AdwCleaner\AdwCleaner[C5].txt - [1794 байт] - [31/05/2016 13:58:52]
C:\AdwCleaner\AdwCleaner[C6].txt - [3792 байт] - [01/06/2016 20:20:02]
C:\AdwCleaner\AdwCleaner[C7].txt - [2076 байт] - [06/06/2016 10:48:46]
C:\AdwCleaner\AdwCleaner[s1].txt - [8822 байт] - [30/05/2016 15:30:24]
C:\AdwCleaner\AdwCleaner[s2].txt - [2923 байт] - [30/05/2016 16:06:06]
C:\AdwCleaner\AdwCleaner[s3].txt - [1979 байт] - [30/05/2016 20:55:00]
C:\AdwCleaner\AdwCleaner[s4].txt - [3176 байт] - [31/05/2016 12:38:51]
C:\AdwCleaner\AdwCleaner[s5].txt - [1608 байт] - [31/05/2016 13:55:51]
C:\AdwCleaner\AdwCleaner[s6].txt - [4129 байт] - [01/06/2016 20:16:28]
C:\AdwCleaner\AdwCleaner[s7].txt - [2641 байт] - [06/06/2016 10:42:48]

########## EOF - C:\AdwCleaner\AdwCleaner[C7].txt - [2684 байт] ##########

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Анастасия Вах]

Вот пожалуйста!

Addition.txt

FRST.txt

Изменено 8 июня, 2016 пользователем Анастасия Вах

[SQ]

Сами устанавливали следующее ПО?

HKU\S-1-5-21-657499718-3248821441-2090416912-1002\...\Run: [Foxmail] => C:\Foxmail 7.2\Foxmail.exe [16021048 2015-11-04] (Tencent Inc.)

Какие из следующих расширений сами ставили?

CHR Extension: (Stylenews) - C:\Users\SjayLiFe\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhmpnibiagopmobamhlgaghkojlcjnfn [2016-06-02]
CHR Extension: (Новости) - C:\Users\SjayLiFe\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-06-01]
CHR Extension: (News Tab) - C:\Users\SjayLiFe\AppData\Local\Google\Chrome\User Data\Default\Extensions\kjacjjdnoddnpbbcjilcajfhhbdhkpgk [2016-06-02]
OPR Extension: (Stylenews) - C:\Users\SjayLiFe\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhmpnibiagopmobamhlgaghkojlcjnfn [2016-06-02]
OPR Extension: (News Tab) - C:\Users\SjayLiFe\AppData\Roaming\Opera Software\Opera Stable\Extensions\kjacjjdnoddnpbbcjilcajfhhbdhkpgk [2016-06-02]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-657499718-3248821441-2090416912-1002\...\Run: [uTorrent] => C:\Users\SjayLiFe\AppData\Roaming\uTorrent\uTorrent.exe [2133504 2016-05-15] (BitTorrent Inc.)
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  FF Plugin-x32: @ieinspector.com/ha_plugin -> C:\Program Files (x86)\IEInspector\HTTPAnalyzerFullV7\firefox\Components [No File]
  FF Plugin-x32: @t.garena.com/garenatalk -> C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
  FF Plugin HKU\S-1-5-21-657499718-3248821441-2090416912-1002: ubisoft.com/uplaypc -> C:\Games\The Settlers 7 - Paths to a Kingdom\Data\Base\_Dbg\Bin\Release\orbit\npuplaypc.dll [No File]
  FF Extension: No Name - C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\netvideohunter@netvideohunter.com [not found]
  FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
  FF HKLM-x32\...\Firefox\Extensions: [{B1463975-4E00-4AC6-9D03-D3644B09422D}] - C:\Users\SjayLiFe\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
  FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
  2016-06-01 20:03 - 2016-06-01 20:03 - 00001132 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk
  2016-06-01 20:03 - 2016-06-01 20:03 - 00001132 _____ C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk
  2016-06-01 20:03 - 2016-06-01 20:03 - 00001132 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk
  2016-06-01 20:03 - 2016-06-01 20:03 - 00001132 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk
  2016-06-01 20:03 - 2016-06-01 20:03 - 00001132 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk
  Folder: C:\Users\SjayLiFe\AppData\Roaming\Checkers
  2015-12-12 20:23 - 2015-12-12 20:23 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
  C:\Users\SjayLiFe\AppData\Local\Temp\tasklisten.exe
  CustomCLSID: HKU\S-1-5-21-657499718-3248821441-2090416912-1002_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-657499718-3248821441-2090416912-1002_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath
  CustomCLSID: HKU\S-1-5-21-657499718-3248821441-2090416912-1002_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
  Task: {01BCD422-4779-4C3F-A9BB-2D6B2B7429D8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
  Task: {061703C5-57DE-4B79-B7CA-5CF50FF67A03} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
  Task: {07401A74-4FC5-4EDA-94D0-D8539C7F1035} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
  Task: {25BB7D54-93FB-4975-A34C-81CD611BE00E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
  Task: {2B026A52-8B3D-43F9-BB92-64F2A4F96FC0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
  Task: {3033A418-5518-4206-A389-AE88286FC108} - \Microsoft\extsetup -> No File <==== ATTENTION
  Task: {48BABA16-874C-473F-9745-B3C6E3CBBE76} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
  Task: {7BC3AF39-5C87-460B-9D88-E0A11CA06F6A} - \KMSAutoNet -> No File <==== ATTENTION
  Task: {87C9220A-6795-4179-AD59-715FD52822D5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
  Task: {87D58906-8B2F-4149-87EB-3CAD3B91F77B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
  Task: {967D833F-0447-4004-A470-F9F3745DA40B} - \Microsoft\Windows\A42F91C3E-33FF-415B-9C88-C083EBEBAC8D -> No File <==== ATTENTION
  Task: {9B73613E-939C-4EE7-9B35-D68815D4D7BA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
  Task: {B7467D82-4929-482C-917B-7966D116D641} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
  Task: {FA772A7A-5867-4EE5-B314-359A9D6F3735} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\Temp:07BF512B [152]
  AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [151]
  AlternateDataStreams: C:\ProgramData\Temp:A064CECC [136]
  AlternateDataStreams: C:\ProgramData\Temp:BC359956 [127]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B [152]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [151]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [136]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:BC359956 [127]
  Reg: reg delete "HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\uTorrent" /f
  Reg: reg delete "HKU\S-1-5-21-657499718-3248821441-2090416912-1002\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\AceWebExtensionUpdater" /f
  FirewallRules: [{0ABBC921-CFEA-4541-9CC4-D9B82CFCE351}] => (Allow) C:\Users\SjayLiFe\AppData\Local\Temp\Setup.exe
  FirewallRules: [{A0844DEB-B4D5-4999-8688-73A182BF6BC2}] => (Allow) C:\Users\SjayLiFe\AppData\Local\Temp\Setup.exe
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Анастасия Вах]

1. Foxmail ставил сам!

 

2. Не совсем понятно что за расширения News Tab с таким концом kjacjjdnoddnpbbcjilcajfhhbdhkpgk, скорее всего это встроенные в Opera Developed 39.0!

Так как расширения которые ставил сам это (Adblock Plus, Browsec, Get Styles, SaveFrom помощник, Unlimited Free VPN - Hola, XTranslate) все остальное точно не я ставил или просто встроенные!

Fixlog.txt

[SQ]

Очистите куки, кэш браузеров и кэш DNS (http://virusinfo.info/showthread.php?t=128635)

[Анастасия Вах]

Готово, на самом деле проблема исчезла еще после сканирования AVZ, далее сканирование AdwCleaner!

 

Что дальше или на этом все?

[SQ]

Готово, на самом деле проблема исчезла еще после сканирования AVZ, далее сканирование AdwCleaner!

 

Что дальше или на этом все?

   

Да, но для того чтобы удалить утилиты которые использовались во время лечения воспользуйтесь следующей инструкцией:

 

    1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.

    

    2. Запустите DelFix.

    Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

   

   3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

   

   4. Нажмите на кнопку Run.

 

   5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)

 

   6. Прикрепите этот отчет в вашей теме.

    

    

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[Анастасия Вах]

Держите!

DelFix.txt

[SQ]

На этом всё!