Перейти к содержанию

Самопроизвольное открытие вкладок во всех браузерах


Unoword

Рекомендуемые сообщения

Добрый день!

В любом из браузеров самопроизвольно открываются вкладки с рекламой,

либо осуществляется самостоятельный переход на страницу с рекламой на действующей вкладке.

Полная проверка не принесла результатов.

Нужна помощь в устранение данной не контролируемой активности посторонних программ.

Спасибо!

CollectionLog-2016.08.21-20.39.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

HiJackThis профиксить (HiJackThis из каталога AutoLogger)

O4 - HKLM\..\Policies\Explorer\Run: [2767701F07124EAB26E284EDE276D036SB] "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --safebrowser
O17 - HKLM\System\CSS\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.142.174
O17 - HKLM\System\CSS\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.143.172
O17 - HKLM\System\CSS\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.142.174
O17 - HKLM\System\CSS\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.143.172
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.142.174
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.143.172
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.142.174
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.143.172
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.142.174
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{D4DC051B-A110-4B6D-9E1C-5E683D310990}: NameServer = 82.163.143.172
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.142.174
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DDFBCC52-C00B-4CF0-AD65-190588F15A84}: NameServer = 82.163.143.172
O22 - ScheduledTask: (Ready) 2767701F07124EAB26E284EDE276D036 - \Microsoft - "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --setresetup
O22 - ScheduledTask: (Ready) 2767701F07124EAB26E284EDE276D036 - \Microsoft\Windows - "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --setresetup
O22 - ScheduledTask: (Ready) 2767701F07124EAB26E284EDE276D036SB - \Microsoft - "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) 2767701F07124EAB26E284EDE276D036SB - \Microsoft\Windows - "C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files\Kinoroom Browser\krbrowser.exe" (file missing)
O22 - ScheduledTask: (Ready) ReimageUpdater - {root} - C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe run_task (file missing)

Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов:

8.8.8.8
8.8.4.4

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2767701F07124EAB26E284EDE276D036SB');
 DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\012DAE64DAEA608E3D4583489E4B7A72\76D0362EDE482E62BAE42170F1276770.exe','32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{1044C617-ECDF-DDC8-8DE2-2B29925D5512}','32');
 DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\2767701F07124EAB26E284EDE276D036SB','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\2767701F07124EAB26E284EDE276D036','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\2767701F07124EAB26E284EDE276D036SB','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\2767701F07124EAB26E284EDE276D036','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)



  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.


- Подготовьте лог AdwCleaner и приложите его в теме.
 

Ссылка на комментарий
Поделиться на другие сайты

 отчет о работе ClearLNK и лог ADWCleaner прикреплен

quarantine.zip по адресу newvirus@kaspersky.com отправлен

Проблема осталась.

ClearLNK-22.08.2016_20-34.log

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Файлы, которые были созданы после перезагрузки прикрепил.

После перезагрузки запустил ADWCleaner снова.

Отчеты также прикрепил.

Действие повторил, отчеты прикрепил.

Проблема осталась

AdwCleanerC0.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

AdwCleanerC2.txt

AdwCleanerS2.txt

Ссылка на комментарий
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

Ссылка на комментарий
Поделиться на другие сайты

Отчеты прикрепил


Перестала запускаться Мозила, выдает такое сообщение: "Не удалось загрузить ваш профиль "Firefox". Возможно, он отсутствует или не доступен"

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Какие из следующих расширений Вам известны?

CHR Extension: (News Tab) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-08-11]
CHR Extension: (Google Search) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-02-28]
CHR Extension: (Дополнительные возможности) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfebapdicibciambalncgipoibiopnno [2016-07-19]
CHR Extension: (HoneyTab) - C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12} [2016-08-21]
OPR Extension: (proplay) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-08-21]
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    Toolbar: HKU\S-1-5-21-560421024-292296030-378943775-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF HKLM\...\Firefox\Extensions: [{026C16AD-D1E4-4C41-7714-4EEEB639E80A}] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
    FF HKLM\...\Firefox\Extensions: [{C022C7C0-A4AF-4D98-B15D-2DDF14456FAD}] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
    FF HKLM\...\Firefox\Extensions: [{09C81EE6-CB33-BDDF-BBD4-7EF2A9904EC6}] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
    FF HKLM\...\Firefox\Extensions: [{177B6F42-F2B7-2A6A-69E4-AB5C9990F515}] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
    Folder: C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}
    2016-08-10 21:40 - 2016-08-10 21:40 - 00000124 ___SH C:\Program Files\Common Files\SBEXTS
    Folder: C:\Users\Admin\AppData\Local\srss
    Task: {05143008-C070-41F7-A996-DF64555904EE} - \{1044C617-ECDF-DDC8-8DE2-2B29925D5512} -> No File <==== ATTENTION
    Task: {5797D8EA-F4EB-4D00-A700-C39D4A299931} - \Microsoft\Windows\A9A3E067C-F960-47F3-AE68-6F78557BF2D8 -> No File <==== ATTENTION
    Task: {8D156966-5C36-498D-8BCC-6673277C8AE3} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
    Task: {A04BFB0F-C52C-42CD-8D52-C91CC71199A0} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
    Task: {A2A080F8-C6FF-4BCB-A044-113259323BEE} - \srss -> No File <==== ATTENTION
    Task: {E2A2933B-0755-417A-AC93-F78E24F2505E} - \{79050547-057D-0979-7811-0B7A7E0B117A} -> No File <==== ATTENTION
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


Обратите внимание на системное событие:

Error: (08/23/2016 08:38:45 PM) (Source: Ntfs) (EventID: 55) (User: )
Description: Структура файловой системы на диске повреждена и непригодна к использованию.
Запустите программу CHKDSK на томе C:.

Выполните проверку файловой системы диска C: в командной строке (cmd.exe) :

chkdsk c: /f
Ссылка на комментарий
Поделиться на другие сайты

Неизвестны, но в реестре и на диске С их удалил.

Что теперь с этим системным событием делать?

CHKDSK выполнил.

Файл прикрепил.

Проблема с Мозилой осталась и после переустановки.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Знакома ли Вам?

========================= Folder: C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12} ========================

2016-08-21 16:42 - 2016-08-21 16:42 - 0003478 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\128.png
2016-08-21 16:42 - 2016-08-21 16:42 - 0001330 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bg.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0000781 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bgok.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0000781 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bgvk.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0003792 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\hash.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0000616 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\manifest.json
2016-08-21 16:43 - 2016-08-21 16:43 - 0068332 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\Uninstall.exe
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\en
2016-08-21 16:42 - 2016-08-21 16:42 - 0000183 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\en\messages.json
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\ru
2016-08-21 16:42 - 2016-08-21 16:42 - 0000183 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\ru\messages.json
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css
2016-08-21 16:42 - 2016-08-21 16:42 - 0000481 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css\bgok.css
2016-08-21 16:42 - 2016-08-21 16:42 - 0000256 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css\bgvk.css

====== End of Folder: ======
Ссылка на комментарий
Поделиться на другие сайты

 

Знакома ли Вам?

========================= Folder: C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12} ========================

2016-08-21 16:42 - 2016-08-21 16:42 - 0003478 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\128.png
2016-08-21 16:42 - 2016-08-21 16:42 - 0001330 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bg.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0000781 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bgok.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0000781 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\bgvk.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0003792 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\hash.js
2016-08-21 16:42 - 2016-08-21 16:42 - 0000616 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\manifest.json
2016-08-21 16:43 - 2016-08-21 16:43 - 0068332 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\Uninstall.exe
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\en
2016-08-21 16:42 - 2016-08-21 16:42 - 0000183 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\en\messages.json
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\ru
2016-08-21 16:42 - 2016-08-21 16:42 - 0000183 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\_locales\ru\messages.json
2016-08-21 16:42 - 2016-08-21 16:42 - 0000000 ____D () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css
2016-08-21 16:42 - 2016-08-21 16:42 - 0000481 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css\bgok.css
2016-08-21 16:42 - 2016-08-21 16:42 - 0000256 _____ () C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}\css\bgvk.css

====== End of Folder: ======

Нет! Удалять?

Ссылка на комментарий
Поделиться на другие сайты

Нет! Удалять?

Нет, выполните следующий фикс, чтобы была возможность откатиться:
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    C:\Program Files\Common Files\{9556CC07-FCEA-37B7-5334-82606501AB12}
    Reboot:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Хасан Абдурахман
      От Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • Ant666
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
    • 123343545646
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • John-80
      От John-80
      Добрый день.
      Во время работы, при переходе на некоторые страницы в браузере (яндекс браузер для организаций) происходит переадресация на страницу sweetgain.top
      Проверка машины антивирусом ничего не дает. Собран лог-файл... можете подсказать как удалить лишнее?
      avz_log.txt
    • Andrei93
      От Andrei93
      Здравствуйте. По какой-то причине Яндекс браузер блокируется Kasperskiy Security для Windows Server: 11.0.1.897. Определил отключением службы KAVFS.
      В событиях windows - Kasperskiy event log и Kasperskiy Security ни каких событий нет.
       
      Со стороны сервера отчет показывает, что ни каких проблем нет.
       
      Как понять, в чем проблема ? Как устранить ? Если решается только путем исключения, можете ли Вы подсказать как это сделать ?
       
×
×
  • Создать...