Перейти к содержанию

Самопроизвольное открытия браузера


Рекомендуемые сообщения

Здравствуйте! При запуске windows 10, открывается браузер FireFox и с ним сайт Zodiac-game, в автозагрузке и реестре ничего подозрительного нет, а вот программа HijackThis нашла сайт Kb-ribaki.org, после чего я удалил его, но через некоторое время появляется командная строка и этот сайт снова прописывается в реестр. Пересканировал уже 5 разными программами и ничего не нашёл. Какая-то программа или бат файл прописывают этот сайт в реестр заново. Помогите пожалуйста!

Изменено пользователем Spartak
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Выполните Порядок оформления запроса о помощи и прикрепите CollectionLog.

Всё сделал, смотрите.

CollectionLog-2016.07.12-15.19.zip

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Spartak');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Spartak');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Проблема вроде-бы решилась, но тему закрывать не буду, вдруг опять пропишется в реестр.

Изменено пользователем Spartak
Ссылка на сообщение
Поделиться на другие сайты
@Spartak, я ведь прошу не из любопытства, а для того, чтобы увидеть результат работы скрипта. Так что выполняйте.
Ссылка на сообщение
Поделиться на другие сайты

@Spartak, я ведь прошу не из любопытства, а для того, чтобы увидеть результат работы скрипта. Так что выполняйте.

Пока делал второй лог опять появилась командная строка и прописала в реестр этот сайт.

CollectionLog-2016.07.12-15.56.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Готово.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем Spartak
Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2667480974-3513049559-1065408366-1001\...\Run: [MediaGet2] => C:\Users\Spartak\AppData\Local\MediaGet2\mediaget.exe [13007648 2016-05-18] (MediaGet LLC)
HKU\S-1-5-21-2667480974-3513049559-1065408366-1001\...\Run: [Spartak] => explorer.exe hxxp://kb-ribaki.org
2016-07-09 11:51 - 2016-07-12 15:13 - 00001170 _____ C:\Users\Spartak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
2016-07-09 11:51 - 2016-07-12 15:13 - 00000000 ____D C:\Users\Spartak\AppData\Local\MediaGet2
2016-07-09 11:51 - 2016-07-09 11:51 - 00000000 ____D C:\Users\Spartak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
2016-07-09 11:51 - 2016-07-09 11:51 - 00000000 ____D C:\Users\Spartak\AppData\Local\Media Get LLC
Task: {44265832-CF2D-4913-86E4-AAA263940789} - System32\Tasks\Spartak => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Spartak /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" <==== ATTENTION
FirewallRules: [TCP Query User{8CE2A21A-8AB9-49B2-B15B-F0ECC4D611E0}C:\users\spartak\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\spartak\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{8FC00732-089B-4FCB-823B-33763CC3822B}C:\users\spartak\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\spartak\appdata\local\mediaget2\mediaget.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2667480974-3513049559-1065408366-1001\...\Run: [MediaGet2] => C:\Users\Spartak\AppData\Local\MediaGet2\mediaget.exe [13007648 2016-05-18] (MediaGet LLC)
HKU\S-1-5-21-2667480974-3513049559-1065408366-1001\...\Run: [Spartak] => explorer.exe hxxp://kb-ribaki.org
2016-07-09 11:51 - 2016-07-12 15:13 - 00001170 _____ C:\Users\Spartak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
2016-07-09 11:51 - 2016-07-12 15:13 - 00000000 ____D C:\Users\Spartak\AppData\Local\MediaGet2
2016-07-09 11:51 - 2016-07-09 11:51 - 00000000 ____D C:\Users\Spartak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
2016-07-09 11:51 - 2016-07-09 11:51 - 00000000 ____D C:\Users\Spartak\AppData\Local\Media Get LLC
Task: {44265832-CF2D-4913-86E4-AAA263940789} - System32\Tasks\Spartak => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Spartak /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" <==== ATTENTION
FirewallRules: [TCP Query User{8CE2A21A-8AB9-49B2-B15B-F0ECC4D611E0}C:\users\spartak\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\spartak\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{8FC00732-089B-4FCB-823B-33763CC3822B}C:\users\spartak\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\spartak\appdata\local\mediaget2\mediaget.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Готово.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Проблема решена?

Не знаю, командная строка появлялась примерно через 10-15 минут после перезагрузки компьютера, нужно подождать.

Проблема решена?

Всё тема закрыта, проблема решена, спасибо вам большое!

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • x5daz
      От x5daz
      День добрый. При включении открывается сайт zodiac games.
      Прошу посодействовать.
      cureit  и avast ничего не находят.
      Спасибо.
      CollectionLog-2016.07.13-14.46.zip
×
×
  • Создать...