Перейти к содержанию
Правила раздела

Самопроизвольное открытия браузера

Spartak

Автор Spartak
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Spartak

Spartak

Опубликовано
Опубликовано (изменено)

Здравствуйте! При запуске windows 10, открывается браузер FireFox и с ним сайт Zodiac-game, в автозагрузке и реестре ничего подозрительного нет, а вот программа HijackThis нашла сайт Kb-ribaki.org, после чего я удалил его, но через некоторое время появляется командная строка и этот сайт снова прописывается в реестр. Пересканировал уже 5 разными программами и ничего не нашёл. Какая-то программа или бат файл прописывают этот сайт в реестр заново. Помогите пожалуйста!

Изменено пользователем Spartak
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Spartak');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
Spartak

Spartak

Опубликовано
  • Автор
Опубликовано (изменено)

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Spartak');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Проблема вроде-бы решилась, но тему закрывать не буду, вдруг опять пропишется в реестр.

Изменено пользователем Spartak
Ссылка на комментарий
Поделиться на другие сайты
Spartak

Spartak

Опубликовано
  • Автор
Опубликовано

@Spartak, я ведь прошу не из любопытства, а для того, чтобы увидеть результат работы скрипта. Так что выполняйте.

Пока делал второй лог опять появилась командная строка и прописала в реестр этот сайт.

CollectionLog-2016.07.12-15.56.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Spartak

Spartak

Опубликовано
  • Автор
Опубликовано (изменено)

Готово.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем Spartak
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2667480974-3513049559-1065408366-1001\...\Run: [MediaGet2] => C:\Users\Spartak\AppData\Local\MediaGet2\mediaget.exe [13007648 2016-05-18] (MediaGet LLC)
HKU\S-1-5-21-2667480974-3513049559-1065408366-1001\...\Run: [Spartak] => explorer.exe hxxp://kb-ribaki.org
2016-07-09 11:51 - 2016-07-12 15:13 - 00001170 _____ C:\Users\Spartak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
2016-07-09 11:51 - 2016-07-12 15:13 - 00000000 ____D C:\Users\Spartak\AppData\Local\MediaGet2
2016-07-09 11:51 - 2016-07-09 11:51 - 00000000 ____D C:\Users\Spartak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
2016-07-09 11:51 - 2016-07-09 11:51 - 00000000 ____D C:\Users\Spartak\AppData\Local\Media Get LLC
Task: {44265832-CF2D-4913-86E4-AAA263940789} - System32\Tasks\Spartak => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Spartak /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" <==== ATTENTION
FirewallRules: [TCP Query User{8CE2A21A-8AB9-49B2-B15B-F0ECC4D611E0}C:\users\spartak\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\spartak\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{8FC00732-089B-4FCB-823B-33763CC3822B}C:\users\spartak\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\spartak\appdata\local\mediaget2\mediaget.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Spartak

Spartak

Опубликовано
  • Автор
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2667480974-3513049559-1065408366-1001\...\Run: [MediaGet2] => C:\Users\Spartak\AppData\Local\MediaGet2\mediaget.exe [13007648 2016-05-18] (MediaGet LLC)
HKU\S-1-5-21-2667480974-3513049559-1065408366-1001\...\Run: [Spartak] => explorer.exe hxxp://kb-ribaki.org
2016-07-09 11:51 - 2016-07-12 15:13 - 00001170 _____ C:\Users\Spartak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
2016-07-09 11:51 - 2016-07-12 15:13 - 00000000 ____D C:\Users\Spartak\AppData\Local\MediaGet2
2016-07-09 11:51 - 2016-07-09 11:51 - 00000000 ____D C:\Users\Spartak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
2016-07-09 11:51 - 2016-07-09 11:51 - 00000000 ____D C:\Users\Spartak\AppData\Local\Media Get LLC
Task: {44265832-CF2D-4913-86E4-AAA263940789} - System32\Tasks\Spartak => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Spartak /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" <==== ATTENTION
FirewallRules: [TCP Query User{8CE2A21A-8AB9-49B2-B15B-F0ECC4D611E0}C:\users\spartak\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\spartak\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{8FC00732-089B-4FCB-823B-33763CC3822B}C:\users\spartak\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\spartak\appdata\local\mediaget2\mediaget.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Готово.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Spartak

Spartak

Опубликовано
  • Автор
Опубликовано

Проблема решена?

Не знаю, командная строка появлялась примерно через 10-15 минут после перезагрузки компьютера, нужно подождать.

Проблема решена?

Всё тема закрыта, проблема решена, спасибо вам большое!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alhena
      [РЕШЕНО] В браузере Google самопроизвольно открывается вкладка
      Автор Alhena
      Добрый день. Вчера во время игры (был открыт браузер Google), т.е я в данный момент играли и свернула игру. Заметила что покраснела иконка Кis. ОБыл обнаружен скрипт какого то трояна и архивы с адресом в гугле, все удалила, троян вылечился.  Но сейчас периодически открывается в браузере страница Crosspilot.io с предложением поставитьк какое то расширение для оперы в гугл. Может кто сталкивался и как с этим бороться? Пока поставила тот сайт в блокировку. Не знаю поможет ли.
    • Хасан Абдурахман
      Касперский тормозит открытие сайтов.
      Автор Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • Rgn
      Какие порты должны быть открыты на МЭ
      Автор Rgn
      Добрый день, коллеги
      Подскажите  пожалуйста, какие порты должны быть открыты на межсетевом экране, чтобы KES получал обновления от KSC
    • korenis
      браузер закрывается сам по себе
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • PiGeMa
      Не открывается защищенный режим браузера Firefox
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
×
×
  • Создать...