Редирект в браузерах на yxo.warmportrait.com

[aksm]

Здравствуйте,при нажатии на область в браузерах Chrome,Opera происходят автоматические редиректы на yxo.warmportrait.com, вулкан и тому подобное.Лог прикрепил.

CollectionLog-2016.07.09-11.54.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe','');
 QuarantineFile('c:\programdata\{7d359988-1372-a04c-7d35-599881376620}\hqghumeaylnlf.exe','');
 DeleteFile('c:\programdata\{7d359988-1372-a04c-7d35-599881376620}\hqghumeaylnlf.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\Bidaily Synchronize Task[74c7].job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Super Optimizer Schedule','64');
 DeleteFile('C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\DNSATLANTIC','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJack

O4 - HKCU\..\RunOnce: [Uninstall C:\Users\Natalia\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64] C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Natalia\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64"
O4 - HKCU\..\RunOnce: [Uninstall C:\Users\Natalia\AppData\Local\Microsoft\OneDrive\17.3.6301.0127\amd64] C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Natalia\AppData\Local\Microsoft\OneDrive\17.3.6301.0127\amd64"
O4 - HKCU\..\RunOnce: [Uninstall C:\Users\Natalia\AppData\Local\Microsoft\OneDrive\17.3.6302.0225\amd64] C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Natalia\AppData\Local\Microsoft\OneDrive\17.3.6302.0225\amd64"
O4 - HKCU\..\RunOnce: [Uninstall C:\Users\Natalia\AppData\Local\Microsoft\OneDrive\17.3.6386.0412\amd64] C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Natalia\AppData\Local\Microsoft\OneDrive\17.3.6386.0412\amd64"
O17 - HKLM\System\CCS\Services\Tcpip\..\{a9a3a714-d8fe-4f55-9ce0-9967b74a81e9}: NameServer = 82.163.143.172,82.163.142.174

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

[aksm]

Сделал, прикрепил.

CollectionLog-2016.07.10-16.39.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[aksm]

Прикрепил.

 

Ответ от newvirus@kaspersky.com:

 

Re: quarantine.zip [KLAN-4660966542]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

logs.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1434789729&z=c9c1fe567fffbff5471aa4fg8z6c3z3mebbtfm2o4b&from=tti&uid=ST1000LM024XHN-M101MBB_S32XJ9BF814354
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1434789729&z=c9c1fe567fffbff5471aa4fg8z6c3z3mebbtfm2o4b&from=tti&uid=ST1000LM024XHN-M101MBB_S32XJ9BF814354&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1434789729&z=c9c1fe567fffbff5471aa4fg8z6c3z3mebbtfm2o4b&from=tti&uid=ST1000LM024XHN-M101MBB_S32XJ9BF814354
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434789729&z=c9c1fe567fffbff5471aa4fg8z6c3z3mebbtfm2o4b&from=tti&uid=ST1000LM024XHN-M101MBB_S32XJ9BF814354&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434789729&z=c9c1fe567fffbff5471aa4fg8z6c3z3mebbtfm2o4b&from=tti&uid=ST1000LM024XHN-M101MBB_S32XJ9BF814354&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434789729&z=c9c1fe567fffbff5471aa4fg8z6c3z3mebbtfm2o4b&from=tti&uid=ST1000LM024XHN-M101MBB_S32XJ9BF814354&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434789729&z=c9c1fe567fffbff5471aa4fg8z6c3z3mebbtfm2o4b&from=tti&uid=ST1000LM024XHN-M101MBB_S32XJ9BF814354&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3868664193-1170651389-1307251217-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1434789729&z=c9c1fe567fffbff5471aa4fg8z6c3z3mebbtfm2o4b&from=tti&uid=ST1000LM024XHN-M101MBB_S32XJ9BF814354&q={searchTerms}
BHO-x32: No Name -> {2335267c-dbba-4dd5-a9d0-c4db8e6a75a4} -> No File
BHO-x32: No Name -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> No File
Toolbar: HKU\S-1-5-21-3868664193-1170651389-1307251217-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
OPR Extension: (Record Page) - C:\Users\Natalia\AppData\Roaming\Opera Software\Opera Stable\Extensions\bgfccekpdbcapdcobhjgdlpipmkpiang [2015-06-20]
OPR Extension: (Filter Results) - C:\Users\Natalia\AppData\Roaming\Opera Software\Opera Stable\Extensions\gdidnibgconffodacokgochfmjkommmf [2015-06-20]
Tcpip\..\Interfaces\{a9a3a714-d8fe-4f55-9ce0-9967b74a81e9}: [NameServer] 82.163.143.172,82.163.142.174
Task: {1C606AB0-D9F1-4099-B9F0-F05B154365EB} - \Super Optimizer Schedule -> No File <==== ATTENTION
Task: {387197E8-B99F-43A7-837F-ABB1311ACC61} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {53BB9971-BE49-44FB-BF61-2353D220703C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {6057BD16-7A6A-43EC-B8BE-8A5B586E3336} - \CCleanerSkipUAC -> No File <==== ATTENTION
Task: {81FC35C7-BBA4-4C9A-A15C-213C65E1021B} - \DNSATLANTIC -> No File <==== ATTENTION
Task: {874DA050-2FF5-4E3D-82FE-30590BC6087B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {889ECB34-5FAC-4890-A44A-50CBCFDD35C5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {8DB8102C-507F-425C-A73B-6E71DA1DFEBA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {8E7F0A98-CB20-4955-949C-58088BCEB281} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {AD63CA09-12F1-427E-9261-712FC550DFB1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {AE632D88-095D-43DC-8E79-5CBA9F06DB9C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {B4CD1CDA-3D3A-4BFD-9561-6DB7CAD8CC27} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {BF873DD5-A7F1-416E-8F76-E66449218254} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {C930E421-DA10-4778-966F-19FFACA263A5} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {D813092A-753B-4CAC-9021-67BC360A2FB1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\26891544.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\26891544.sys => ""="Driver"
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[aksm]

Прикрепил.

Fixlog.txt

[thyrex]

Что с проблемой?

[aksm]

Что с проблемой?

Все еще есть...

[thyrex]

Интернет через роутер?

[aksm]

Интернет через роутер?

Да

[thyrex]

Сделайте аппаратный сброс настроек роутера, введите правильные настройки.

Смените пароль к настройкам роутера на более сложный.

Очистите куки и кэш браузера, перезагрузите компьютер.

 

Проверьте проблему.